Специалисты в области кибербезопасности обнаружили серьезную уязвимость, которая позволяла получить любой номер телефона, связанный с аккаунтом Google. Эта проблема открывала путь к атакам на SIM-карты и ставила под угрозу миллионы пользователей смартфонов на Android, чьи номера часто являются ключом к учетной записи.
Об этом сообщает ProIT
Механизм атаки и последствия
Номер телефона традиционно рассматривается как конфиденциальная информация, однако благодаря найденной уязвимости злоумышленники могли выяснить его даже с помощью простого перебора числовых комбинаций — так называемого brute force. Почти все владельцы Android-устройств находились в зоне риска, так как их телефонные номера привязаны к Google-аккаунтам.
«Этот эксплойт является довольно опасным, так как фактически открывает “золотую жилу” для тех, кто занимается подменой SIM-карт», — прокомментировал независимый исследователь безопасности под псевдонимом brutecat, который и обнаружил проблему.
Подмена SIM-карт — это тип атаки, когда злоумышленник получает контроль над номером жертвы, после чего способен принимать ее звонки и сообщения. Это позволяет получить доступ к различным аккаунтам, в том числе почтовым ящикам, криптовалютным биржам и банковским приложениям.
Как работала уязвимость и как ее исправили
SIM-обменники часто используют такую информацию для кражи онлайн-идентификаторов пользователей и криптовалюты. Зафиксированы случаи, когда подобные атаки проводились против крупных компаний, а сами хакеры сотрудничали с организованными преступными группами из Восточной Европы.
Получив номер, злоумышленник мог обратиться к оператору мобильной связи, выдав себя за владельца, и перенаправить сообщения на свою SIM-карту. В результате он получал доступ к кодам для сброса паролей или многофакторной аутентификации, что открывало возможность для дальнейшего взлома аккаунтов жертвы.
Для осуществления атаки хакерам был нужен лишь логин пользователя Google. Изначально они передавали жертве право собственности на документ Google Looker Studio с измененным названием, из-за чего не поступало уведомление о смене владельца. Далее с помощью специального кода происходил автоматизированный подбор номера телефона, который не вызывал подозрений у владельца аккаунта.
Во время эксперимента brutecat понадобилось примерно шесть часов, чтобы определить номер телефона, связанный с заданным адресом Gmail. По словам исследователя, перебор номеров для США занимал около часа, для Великобритании — примерно 8 минут, а для ряда других стран — даже менее минуты.
Уязвимость уже устранена: Google исправила проблему после сообщения от исследователя в рамках программы вознаграждений. За найденную уязвимость brutecat получил 5000 долларов. Сначала вопрос оценили как низкозначительный, но впоследствии повысили класс риска до среднего.