Google виправила критичну вразливість у системі відновлення облікових записів, яка дозволяла отримати доступ до приватного номера телефону для відновлення майже будь-якого акаунта Google. Виявлену проблему усунули після звернення незалежного дослідника з кібербезпеки, відомого як brutecat.
Про це розповідає ProIT
Як працював механізм атаки
Brutecat повідомив, що скористався багом у функції відновлення облікового запису Google. Атака полягала у побудові спеціального ланцюжка дій: спочатку зловмисник міг отримати повне ім’я власника облікового запису, а потім обійти захист від автоматизованих ботів, який мав запобігати масовим спробам скидання пароля. Завдяки цьому дослідник міг перебрати всі можливі комбінації номерів телефону для певного акаунта за лічені хвилини та визначити правильний номер.
Автоматизація цієї атаки через спеціальний скрипт дозволила досліднику зламати номер телефону для відновлення менш ніж за 20 хвилин, залежно від довжини номера.
Наслідки для безпеки користувачів
Виявлена вразливість створювала реальну загрозу навіть для анонімних акаунтів Google. Зловмисники, отримавши приватний номер телефону, могли б легше здійснити атаку типу SIM swap, захопити номер і перехопити коди для скидання паролів до інших сервісів.
Для перевірки багу дослідник brutecat здійснив демонстрацію: отримавши адресу щойно створеного облікового запису Google з унікальним номером телефону, він невдовзі надіслав цей номер назад, підтвердивши працездатність методу.
“Розкриття приватного номеру для відновлення може зробити навіть анонімні акаунти Google вразливими до цілеспрямованих атак, зокрема спроб захоплення доступу”.
Google підтвердила усунення вразливості після отримання повідомлення від дослідника у квітні. Представниця компанії Кімберлі Самра подякувала досліднику за співпрацю та зазначила, що подібні повідомлення дозволяють швидко знаходити і вирішувати проблеми безпеки. За словами Самри, наразі не зафіксовано підтверджених випадків зловживання цією вразливістю.
За виявлення багу Google виплатила досліднику винагороду у розмірі 5 000 доларів США за програмою bug bounty.