Фахівець з кібербезпеки продемонстрував метод, який дозволяв отримувати будь-який номер телефону, прив’язаний до акаунту Google, відкриваючи можливість для зламу облікових записів. Цей підхід пройшов незалежну верифікацію, зокрема від 404 Media та Wired.
Про це розповідає ProIT
Як працювала вразливість у Google
Вразливість дозволяла зловмисникам надзвичайно швидко з’ясувати номер телефону користувача. Для цього не потрібні були значні ресурси чи глибокі технічні знання — навіть новачки могли скористатися цим експлойтом і отримати доступ до конфіденційної інформації. На момент виявлення ця уразливість створювала серйозну загрозу приватності, однак Google вже усунув її.
«Я вважаю цей експлойт досить небезпечним, оскільки це фактично золота жила для шахраїв з SIM-картами», — написав дослідник безпеки Brutecat, який виявив проблему.
Під час перевірки журналісти надали Brutecat одну зі своїх особистих адрес Gmail. Приблизно за шість годин дослідник визначив повний номер телефону, пов’язаний із цим обліковим записом.
Технологія атаки і рекомендації щодо захисту
Методика зламу ґрунтувалася на переборі номерів з використанням певних підготовчих дій. Брутфорс виявився дуже ефективним: для американських номерів пошук займав близько години, для британських — лише вісім хвилин, а для деяких інших країн — менше хвилини.
Щоб скористатися вразливістю, зловмисник спочатку отримував ім’я користувача Google. Brutecat у своєму відео показав спосіб: він передавав право власності на документ Google Looker Studio цільовому користувачу. Якщо назва документа містила мільйон символів, жертва не отримувала сповіщення про зміну власника. Далі за допомогою спеціального коду зловмисник перевіряв безліч варіантів номерів телефону, поки не знаходив правильний. Як наголосив дослідник, «потерпілого взагалі не повідомляють».
Після отримання номера шахраї могли здійснювати спроби перевипуску SIM-карти, переконуючи оператора видати їм нову SIM. Попри рекомендації ФБР та правоохоронців не використовувати публічно відомий номер для реєстрації акаунтів, цей захід неефективний у випадку застосування брутфорсу.
Brutecat повідомив, що за виявлення вразливості отримав від Google винагороду у розмірі $5000, а також додаткову премію за інші знахідки. Вперше компанія оцінила ризик експлойта як низький, але згодом підвищила до середнього. На поточний момент уразливість повністю усунена.