Google naprawia błąd, który mógł ujawnić prywatne numery telefonów użytkowników

Badacz ds. bezpieczeństwa odkrył błąd, który może posłużyć do ujawnienia prywatnego numeru telefonu ratunkowego niemal każdego konta Google bez powiadamiania jego właściciela, co potencjalnie naraża użytkowników na ryzyko naruszenia prywatności i bezpieczeństwa.

Google potwierdziło w rozmowie z TechCrunch, że naprawiło błąd po tym, jak badacz powiadomił firmę w kwietniu.

Niezależny badacz, który posługuje się pseudonimem brutecat i opublikował swoje odkrycia na blogu , powiedział serwisowi TechCrunch, że może uzyskać numer telefonu do odzyskiwania konta Google, wykorzystując błąd w funkcji odzyskiwania konta firmy.

Exploit polegał na „łańcuchu ataków” kilku indywidualnych procesów działających w tandemie, w tym na wycieku pełnej nazwy wyświetlanej docelowego konta i ominięciu mechanizmu ochrony przed botami, który Google wdrożył, aby zapobiec złośliwemu spamowaniu żądań resetowania hasła. Ominięcie limitu szybkości ostatecznie pozwoliło badaczowi przejrzeć wszystkie możliwe permutacje numeru telefonu konta Google w krótkim czasie i dotrzeć do prawidłowych cyfr.

Dzięki zautomatyzowaniu łańcucha ataków za pomocą skryptu badacze stwierdzili, że możliwe jest siłowe złamanie numeru telefonu pomocniczego właściciela konta Google w ciągu 20 minut lub krócej, w zależności od długości numeru telefonu.

Aby to sprawdzić, TechCrunch utworzył nowe konto Google, podając numer telefonu, którego nigdy wcześniej nie używano, a następnie podał brutecatowi adres e-mail naszego nowego konta Google.

Chwilę później brutecat odpisał nam na podany przez nas numer telefonu.

„bingo :)” – powiedział badacz.

Ujawnienie prywatnego numeru telefonu odzyskiwania może narazić nawet anonimowe konta Google na ukierunkowane ataki, takie jak próby przejęcia. Zidentyfikowanie prywatnego numeru telefonu powiązanego z czyimś kontem Google może ułatwić wykwalifikowanym hakerom przejęcie kontroli nad tym numerem telefonu poprzez atak zamiany karty SIM , na przykład. Mając kontrolę nad tym numerem telefonu, atakujący może zresetować hasło dowolnego konta powiązanego z tym numerem telefonu, generując kody resetowania hasła wysyłane na ten telefon.

Biorąc pod uwagę potencjalne ryzyko dla szerszej publiczności, serwis TechCrunch zgodził się wstrzymać publikację tego artykułu do czasu usunięcia błędu.

„Ten problem został rozwiązany. Zawsze podkreślaliśmy znaczenie współpracy ze społecznością badaczy bezpieczeństwa w ramach naszego programu nagród za podatności i chcemy podziękować badaczowi za zgłoszenie tego problemu” — powiedziała rzeczniczka Google Kimberly Samra w wywiadzie dla TechCrunch. „Zgłoszenia badaczy, takie jak to, są jednym z wielu sposobów, w jaki możemy szybko znaleźć i naprawić problemy dla bezpieczeństwa naszych użytkowników”.

Samra powiedział, że firma „na chwilę obecną nie odnotowała żadnych potwierdzonych, bezpośrednich powiązań z exploitami”.

Brutecat poinformował, że Google zapłaciło 5000 dolarów nagrody za znalezienie błędu.