Специалист по кибербезопасности продемонстрировал метод, который позволял получать любой номер телефона, привязанный к аккаунту Google, открывая возможность для взлома учетных записей. Этот подход прошел независимую верификацию, в том числе от 404 Media и Wired.
Об этом сообщает ProIT
Как работала уязвимость в Google
Уязвимость позволяла злоумышленникам чрезвычайно быстро выяснять номер телефона пользователя. Для этого не требовались значительные ресурсы или глубокие технические знания — даже новички могли воспользоваться этим эксплойтом и получить доступ к конфиденциальной информации. На момент обнаружения эта уязвимость создавала серьезную угрозу приватности, однако Google уже устранил ее.
«Я считаю этот эксплойт довольно опасным, так как это фактически золотая жила для мошенников с SIM-картами», — написал исследователь безопасности Brutecat, который обнаружил проблему.
Во время проверки журналисты предоставили Brutecat один из своих личных адресов Gmail. Примерно за шесть часов исследователь определил полный номер телефона, связанный с этим аккаунтом.
Технология атаки и рекомендации по защите
Методика взлома основывалась на переборе номеров с использованием определенных подготовительных действий. Брутфорс оказался очень эффективным: для американских номеров поиск занимал около часа, для британских — всего восемь минут, а для некоторых других стран — менее минуты.
Чтобы воспользоваться уязвимостью, злоумышленник сначала получал имя пользователя Google. Brutecat в своем видео показал способ: он передавал право собственности на документ Google Looker Studio целевому пользователю. Если название документа содержало миллион символов, жертва не получала уведомление о смене владельца. Далее с помощью специального кода злоумышленник проверял множество вариантов номеров телефона, пока не находил правильный. Как подчеркнул исследователь, «потерпевшего вообще не уведомляют».
После получения номера мошенники могли пытаться осуществить перевыпуск SIM-карты, убеждая оператора выдать им новую SIM. Несмотря на рекомендации ФБР и правоохранительных органов не использовать публично известный номер для регистрации аккаунтов, этот шаг неэффективен в случае применения брутфорса.
Brutecat сообщил, что за обнаружение уязвимости получил от Google вознаграждение в размере $5000, а также дополнительную премию за другие находки. Впервые компания оценила риск эксплойта как низкий, но впоследствии повысила до среднего. На текущий момент уязвимость полностью устранена.