Google verhelpt bug die privételefoonnummers van gebruikers kon onthullen

Een beveiligingsonderzoeker heeft een bug ontdekt die kan worden misbruikt om het privéhersteltelefoonnummer van vrijwel elk Google-account te onthullen zonder de eigenaar hiervan op de hoogte te stellen. Dit kan leiden tot privacy- en beveiligingsrisico's voor gebruikers.

Google bevestigde tegenover TechCrunch dat het de bug had opgelost nadat de onderzoeker het bedrijf in april had gewaarschuwd.

De onafhankelijke onderzoeker, die onder de naam brutecat opereert en over zijn bevindingen een blog publiceerde , vertelde TechCrunch dat hij het hersteltelefoonnummer van een Google-account kon bemachtigen door misbruik te maken van een bug in de accountherstelfunctie van het bedrijf.

De exploit was gebaseerd op een 'aanvalsketen' van verschillende individuele processen die samenwerkten, waaronder het lekken van de volledige weergavenaam van een doelwitaccount en het omzeilen van een anti-botbeschermingsmechanisme dat Google had geïmplementeerd om de kwaadaardige spam van wachtwoordherstelverzoeken te voorkomen. Door de snelheidslimiet te omzeilen, kon de onderzoeker uiteindelijk in korte tijd alle mogelijke varianten van het telefoonnummer van een Google-account doorlopen en de juiste cijfers vinden.

Door de aanvalsketen te automatiseren met een script, kon volgens de onderzoeker binnen 20 minuten of minder via brute force-aanvallen het hersteltelefoonnummer van een Google-accounthouder worden verkregen, afhankelijk van de lengte van het telefoonnummer.

Om dit te testen, maakte TechCrunch een nieuw Google-account aan met een telefoonnummer dat nog nooit eerder was gebruikt. Vervolgens verstrekte TechCrunch het e-mailadres van ons nieuwe Google-account aan brutecat.

Kort daarna stuurde brutecat ons een bericht terug met het telefoonnummer dat we hadden ingesteld.

“Bingo :),” zei de onderzoeker.

Het onthullen van het privé-herstelnummer kan zelfs anonieme Google-accounts blootstellen aan gerichte aanvallen, zoals overnamepogingen. Het identificeren van een privé-telefoonnummer dat aan iemands Google-account is gekoppeld, kan het voor bekwame hackers gemakkelijker maken om de controle over dat telefoonnummer over te nemen, bijvoorbeeld via een SIM-swapaanval . Met de controle over dat telefoonnummer kan de aanvaller het wachtwoord van elk account dat aan dat telefoonnummer is gekoppeld, resetten door wachtwoordherstelcodes te genereren die naar die telefoon worden verzonden.

Gezien het mogelijke risico voor het grote publiek, heeft TechCrunch ermee ingestemd dit verhaal achter te houden totdat de bug is opgelost.

"Dit probleem is opgelost. We hebben altijd het belang benadrukt van samenwerking met de community voor beveiligingsonderzoek via ons programma voor kwetsbaarheidsbeloningen en we willen de onderzoeker bedanken voor het melden van dit probleem", vertelde Google-woordvoerder Kimberly Samra aan TechCrunch. "Dit soort inzendingen van onderzoekers zijn een van de vele manieren waarop we problemen met de veiligheid van onze gebruikers snel kunnen opsporen en oplossen."

Samra zei dat het bedrijf op dit moment "geen bevestigde, directe links naar exploits" heeft gevonden.

Volgens Brutecat betaalde Google $ 5.000 uit als beloning voor hun vondst.