O vulnerabilitate permitea recuperarea prin forță brută a numărului de telefon de recuperare al oricărui cont Google, pur și simplu cunoscând numele de profil și o parte a numărului de telefon. Un cercetător în domeniul securității cibernetice a descoperit o eroare care putea fi exploatată pentru a dezvălui numărul de telefon privat de recuperare pentru aproape orice cont Google fără a alerta proprietarul, expunând potențial utilizatorii la riscuri de confidențialitate și securitate, potrivit TechCrunch.
Urmărește cele mai noi producții video TechRider.ro
- articolul continuă mai jos -
Metoda de atac implică utilizarea abuzivă a unei versiuni învechite, dezactivată pentru JavaScript, a formularului de recuperare a numelui de utilizator Google, care nu dispunea de protecții moderne împotriva abuzurilor.
Google a confirmat că a eliminat vulnerabilitatea
Google a confirmat că a remediat eroarea după ce cercetătorul a alertat compania în aprilie. Pe 6 iunie 2025, Google a confirmat că a eliminat complet punctul final vulnerabil de recuperare fără JS.
Cercetătorul independent, cu numele BruteCat, care a publicat descoperirile sale pe blog, a declarat că a putut obține numărul de telefon de recuperare al unui cont Google exploatând o eroare din funcția de recuperare a contului companiei. Cercetătorul în securitate cibernetică BruteCat este același care a demonstrat în februarie că este posibil să se expună adresele de e-mail private ale conturilor YouTube.
Exploatarea se baza pe un „lanț de atac” format din mai multe procese individuale care funcționau în tandem, inclusiv divulgarea numelui complet afișat al unui cont vizat și ocolirea unui mecanism de protecție anti-bot implementat de Google pentru a preveni spamul rău intenționat al cererilor de resetare a parolei. Ocolirea limitei impuse a permis în cele din urmă cercetătorului să parcurgă toate permutările posibile ale numărului de telefon al unui cont Google într-un interval scurt de timp și să ajungă la cifrele corecte.
Prin automatizarea lanțului de atac cu un script, cercetătorul a afirmat că era posibil să se obțină prin forță brută numărul de telefon de recuperare al proprietarului unui cont Google în 20 de minute sau mai puțin, în funcție de lungimea numărului de telefon.
Cum funcționa forțarea numerelor Google
BruteCat a descoperit că poate accesa un formular vechi de recuperare a numelui de utilizator fără JavaScript, care părea să funcționeze conform așteptărilor.
Formularul permitea să se verifice dacă un număr de telefon era asociat unui cont Google pe baza numelui afișat în profilul utilizatorului (de ex. „John Smith”) prin două cereri POST.
Cercetătorul a ocolit apărarea rudimentară de limitare a ratei din formular utilizând rotația adreselor IPv6 pentru a genera trilioane de adrese IP sursă unice prin masca subnet /64 pentru aceste cereri.
CAPTCHA-urile afișate de multe solicitări au fost ocolite prin înlocuirea parametrului „bgresponse=js_disabled” cu un token BotGuard valid din formularul compatibil cu JS.
Odată stabilită tehnica, BruteCat a dezvoltat un instrument de forțare brută (gpb) care parcurge intervalele de numere utilizând formate specifice fiecărei țări și filtrează rezultatele fals pozitive.
Cercetătorul a utilizat „libphonenumber” de la Google pentru a genera formate de numere valide, a construit o bază de date cu măști de țară pentru a identifica formatele de telefon în funcție de regiune și a scris un script pentru a genera tokenuri BotGuard prin Chrome fără interfață grafică.
La o rată de forțare brută de 40.000 de solicitări pe secundă, obținerea numerelor din SUA ar dura aproximativ 20 de minute, cele din Marea Britanie 4 minute, iar cele din Olanda mai puțin de 15 secunde.
Pentru a lansa un atac împotriva unei persoane, este necesară adresa de e-mail a acesteia în formular, dar Google a ascuns acest câmp încă de anul trecut.
BruteCat a descoperit că o poate recupera creând un document Looker Studio și transferând proprietatea către adresa de Gmail a țintei.
Odată transferată proprietatea, numele afișat al țintei pe Google apare în tabloul de bord Looker Studio al creatorului documentului, fără a fi necesară nicio interacțiune cu ținta.
Având această adresă de e-mail, puteau efectua interogări repetate pentru a determina toate numerele de telefon asociate cu numele profilului.
Cu toate acestea, deoarece pot exista mii de conturi cu același nume de profil, cercetătorul a restrâns căutarea utilizând numărul parțial al țintei.
Pentru a obține un număr de telefon parțial al utilizatorului, cercetătorul a utilizat fluxul de lucru „recuperare cont” al Google, care afișează două cifre ale unui număr de telefon de recuperare configurat.
„Acest timp poate fi redus semnificativ prin indicii despre numărul de telefon din fluxurile de resetare a parolei din alte servicii, cum ar fi PayPal, care furnizează mai multe cifre (de exemplu, +14•••••1779)”, a explicat BruteCat.
Expunerea numărului de telefon privat deschide calea spre alte atacuri
Dezvăluirea numărului de telefon privat de recuperare poate expune chiar și conturile Google anonime la atacuri țintite, cum ar fi încercările de preluare a controlului sau atacuri de phishing. Identificarea unui număr de telefon privat asociat contului Google al unei persoane ar putea facilita controlul asupra acelui număr de telefon de către hackeri experimentați, de exemplu printr-un atac de schimbare a cartelei SIM, numit SIM swap. Având controlul asupra acelui număr de telefon, atacatorul poate reseta parola oricărui cont asociat cu acel număr de telefon, generând coduri de resetare a parolei trimise către acel telefon.
„Această problemă a fost remediată. Am subliniat întotdeauna importanța colaborării cu comunitatea de cercetare în domeniul securității prin programul nostru de recompense pentru vulnerabilități și dorim să mulțumim cercetătorului pentru semnalarea acestei probleme”, a declarat Kimberly Samra, purtătorul de cuvânt al Google. „Rapoartele cercetătorilor, precum acesta, sunt una dintre numeroasele modalități prin care putem identifica și remedia rapid problemele pentru siguranța utilizatorilor noștri.”
Samra a declarat că, în acest moment, compania „nu a identificat nicio legătură directă confirmată cu exploatarea vulnerabilității”.
BruteCat a raportat descoperirile sale către Google prin intermediul Programului de recompensare a vulnerabilităților (VRP) al gigantului tehnologic, pe 14 aprilie 2025.
Google a considerat inițial că riscul de exploatare este scăzut, dar pe 22 mai 2025 a ridicat problema la „severitate medie”, aplicând măsuri provizorii de atenuare și plătind cercetătorului o recompensă de 5.000 de dolari pentru divulgare.
Vectorul de atac nu mai poate fi exploatat, dar nu se știe dacă a fost vreodată exploatat în mod rău intenționat.
