Google risolve un bug che potrebbe rivelare i numeri di telefono privati ​​degli utenti

Un ricercatore esperto in sicurezza ha scoperto un bug che potrebbe essere sfruttato per rivelare il numero di telefono di recupero privato di quasi tutti gli account Google senza avvisare il proprietario, esponendo potenzialmente gli utenti a rischi per la privacy e la sicurezza.

Google ha confermato a TechCrunch di aver risolto il bug dopo che il ricercatore aveva avvisato l'azienda ad aprile.

Il ricercatore indipendente, noto con lo pseudonimo brutecat e che ha pubblicato i suoi risultati su un blog , ha dichiarato a TechCrunch di poter ottenere il numero di telefono di recupero di un account Google sfruttando un bug nella funzionalità di recupero dell'account dell'azienda.

L'exploit si basava su una "catena di attacchi" di diversi processi individuali che operavano in tandem, tra cui la divulgazione del nome completo visualizzato di un account preso di mira e l'aggiramento di un meccanismo di protezione anti-bot implementato da Google per impedire lo spamming dannoso delle richieste di reimpostazione della password. L'aggiramento del limite di velocità ha infine permesso al ricercatore di esaminare ogni possibile permutazione del numero di telefono di un account Google in un breve lasso di tempo e di arrivare alle cifre corrette.

Automatizzando la catena di attacco con uno script, il ricercatore ha affermato che è possibile forzare brute force sul numero di telefono di recupero del proprietario di un account Google in 20 minuti o meno, a seconda della lunghezza del numero di telefono.

Per testarlo, TechCrunch ha creato un nuovo account Google con un numero di telefono mai utilizzato prima, quindi ha fornito a brutecat l'indirizzo email del nostro nuovo account Google.

Poco dopo, brutecat ci ha risposto con il numero di telefono che avevamo impostato.

"bingo :)", ha detto il ricercatore.

Rivelare il numero di telefono privato di recupero può esporre anche gli account Google anonimi ad attacchi mirati, come tentativi di furto. Identificare un numero di telefono privato associato all'account Google di qualcuno potrebbe rendere più facile per gli hacker esperti prendere il controllo di quel numero di telefono attraverso, ad esempio, un attacco di scambio SIM . Con il controllo di quel numero di telefono, l'aggressore può reimpostare la password di qualsiasi account associato a quel numero di telefono generando codici di reimpostazione della password inviati a quel telefono.

Dato il potenziale rischio per il grande pubblico, TechCrunch ha accettato di tenere nascosta la notizia finché il bug non fosse stato risolto.

"Questo problema è stato risolto. Abbiamo sempre sottolineato l'importanza di collaborare con la comunità di ricerca sulla sicurezza attraverso il nostro programma di premi per le vulnerabilità e desideriamo ringraziare il ricercatore per aver segnalato questo problema", ha dichiarato a TechCrunch Kimberly Samra, portavoce di Google. "Le segnalazioni dei ricercatori come questa sono uno dei tanti modi in cui possiamo individuare e risolvere rapidamente i problemi per la sicurezza dei nostri utenti".

Samra ha affermato che l'azienda non ha riscontrato "al momento alcun collegamento diretto e confermato con gli exploit".

Brutecat ha affermato che Google ha pagato 5.000 dollari come ricompensa per la scoperta.