Google исправила ошибку, которая могла раскрыть личные номера телефонов пользователей

Исследователь по безопасности обнаружил ошибку, которая может быть использована для раскрытия закрытого номера телефона для восстановления практически любой учетной записи Google без уведомления ее владельца, что потенциально подвергает пользователей риску конфиденциальности и безопасности.

Google подтвердила TechCrunch, что исправила ошибку после того, как исследователь сообщил об этом компании в апреле.

Независимый исследователь, известный под псевдонимом brutecat и опубликовавший свои выводы в блоге , рассказал TechCrunch, что он может получить номер телефона для восстановления аккаунта Google, воспользовавшись ошибкой в ​​функции восстановления аккаунта компании.

Эксплойт основывался на «цепочке атак» из нескольких отдельных процессов, работающих в тандеме, включая утечку полного отображаемого имени целевой учетной записи и обход механизма защиты от ботов, который Google внедрил для предотвращения вредоносной рассылки спама с запросами на сброс пароля. Обход ограничения скорости в конечном итоге позволил исследователю за короткий промежуток времени перебрать все возможные перестановки номера телефона учетной записи Google и получить правильные цифры.

По словам исследователя, автоматизировав цепочку атак с помощью скрипта, можно подобрать номер телефона для восстановления учетной записи Google методом подбора пароля за 20 минут или меньше, в зависимости от длины номера телефона.

Чтобы проверить это, TechCrunch создал новую учетную запись Google с номером телефона, который ранее не использовался, а затем предоставил brutecat адрес электронной почты нашей новой учетной записи Google.

Через некоторое время brutecat ответил нам сообщением с указанием указанного нами номера телефона.

«Бинго :)», — сказал исследователь.

Раскрытие частного номера телефона для восстановления может подвергнуть даже анонимные учетные записи Google целевым атакам, таким как попытки захвата. Определение частного номера телефона, связанного с чьей-либо учетной записью Google, может облегчить опытным хакерам задачу по получению контроля над этим номером телефона с помощью атаки подмены SIM-карты , например. Имея контроль над этим номером телефона, злоумышленник может сбросить пароль любой учетной записи, связанной с этим номером телефона, сгенерировав коды сброса пароля, отправленные на этот телефон.

Учитывая потенциальный риск для широкой общественности, TechCrunch согласился сохранить эту историю в тайне до тех пор, пока ошибка не будет устранена.

«Эта проблема была устранена. Мы всегда подчеркивали важность работы с сообществом исследователей безопасности через нашу программу вознаграждений за уязвимости, и мы хотим поблагодарить исследователя за то, что он указал на эту проблему», — сказала TechCrunch представитель Google Кимберли Самра. «Подобные сообщения исследователей — один из многих способов, с помощью которых мы можем быстро находить и устранять проблемы для безопасности наших пользователей».

Самра заявил, что компания «на данный момент не обнаружила никаких подтвержденных прямых ссылок на эксплойты».

Brutecat сообщила, что Google выплатила 5000 долларов в качестве вознаграждения за обнаружение уязвимости.