Исследователь безопасности обнаружил ошибку, которая может быть использована, чтобы раскрыть частный номер телефона восстановления практически любой учетной записи Google, не предупреждая своего владельца, потенциально подвергая пользователей о конфиденциальности и рисках безопасности.
Google подтвердил TechCrunch, что исправил ошибку после того, как исследователь предупредил компанию в апреле.
Независимый исследователь, который проходит под рукой Brutecat и блокировал свои выводы, сказал TechCrunch, что они могут получить номер телефона восстановления учетной записи Google, используя ошибку в функции восстановления аккаунта компании.
Эксплойт полагался на «цепочку атаки» нескольких отдельных процессов, работающих в тандеме, включая утечку полного отображения имени целевой учетной записи и обход механизма защиты от ботов, который Google реализовал, чтобы предотвратить злонамеренное спам запросов на сброс пароля. Обход предела ставки в конечном итоге позволил исследователю пройти цикл через все возможные перестановки номера телефона Google в короткие сроки и прийти к правильным цифрам.
Автоматируя цепочку атак с помощью сценария, исследователь сказал, что можно было бы развлечь номер телефона восстановления владельца аккаунта Google за 20 минут или меньше, в зависимости от длины номера телефона.
Чтобы проверить это, TechCrunch настроил новую учетную запись Google с номером телефона, которая никогда не использовалась ранее, а затем предоставил Brutecat адрес электронной почты нашей новой учетной записи Google.
Вскоре спустя Брутекат обратился к номеру телефона, который мы установили.
«Бинго :)», — сказал исследователь.
Раскрытие частного номера телефона восстановления может показать даже анонимные учетные записи Google для целевых атак, таких как попытки поглощения. Определение частного номера телефона, связанного с чьей -то учетной записью Google, может облегчить квалифицированным хакерам, например, взять под контроль этот номер телефона с помощью атаки SIM -карты. Благодаря управлению этим номером телефона, злоумышленник может сбросить пароль любой учетной записи, связанной с этим номером телефона, генерируя коды сброса пароля, отправленные на этот телефон.
Учитывая потенциальный риск для более широкой публики, TechCrunch согласился сохранить эту историю, пока ошибка не будет исправлена.
«Эта проблема была исправлена. Мы всегда подчеркивали важность работы с сообществом исследований в области безопасности с помощью нашей программы вознаграждений об уязвимости, и мы хотим поблагодарить исследователя за то, что он пометил эту проблему», — сказала представитель Google Кимберли Самра. «Подобные материалы исследователей являются одним из многих способов быстро найти и решить проблемы для безопасности наших пользователей».
Самра сказала, что в настоящее время компания видела «не подтвержденных, прямых связей с эксплойтами».
Brutecat сказал, что Google заплатил 5000 долларов за вознаграждение за награду за ошибку за их вывод.
