Google исправила критическую уязвимость в системе восстановления учетных записей, которая позволяла получить доступ к приватному номеру телефона для восстановления почти любого аккаунта Google. Обнаруженную проблему устранили после обращения независимого исследователя в области кибербезопасности, известного как brutecat.
Об этом сообщает ProIT
Как работал механизм атаки
Brutecat сообщил, что воспользовался багом в функции восстановления учетной записи Google. Атака заключалась в построении специальной цепочки действий: сначала злоумышленник мог получить полное имя владельца учетной записи, а затем обойти защиту от автоматизированных ботов, которая должна была предотвращать массовые попытки сброса пароля. Благодаря этому исследователь мог перебрать все возможные комбинации номеров телефона для определенного аккаунта за считанные минуты и определить правильный номер.
Автоматизация этой атаки через специальный скрипт позволила исследователю взломать номер телефона для восстановления менее чем за 20 минут, в зависимости от длины номера.
Последствия для безопасности пользователей
Обнаруженная уязвимость создавала реальную угрозу даже для анонимных аккаунтов Google. Злоумышленники, получив приватный номер телефона, могли бы легче осуществить атаку типа SIM swap, захватить номер и перехватить коды для сброса паролей к другим сервисам.
Для проверки бага исследователь brutecat провел демонстрацию: получив адрес только что созданного аккаунта Google с уникальным номером телефона, он вскоре отправил этот номер обратно, подтвердив работоспособность метода.
«Раскрытие приватного номера для восстановления может сделать даже анонимные аккаунты Google уязвимыми к целенаправленным атакам, в частности попыткам захвата доступа».
Google подтвердила устранение уязвимости после получения сообщения от исследователя в апреле. Представительница компании Кимберли Самра поблагодарила исследователя за сотрудничество и отметила, что подобные сообщения позволяют быстро находить и решать проблемы безопасности. По словам Самры, на данный момент не зафиксировано подтвержденных случаев злоупотребления этой уязвимостью.
За обнаружение бага Google выплатила исследователю вознаграждение в размере 5 000 долларов США по программе bug bounty.