Фахівці з кібербезпеки виявили серйозну уразливість, яка дозволяла отримати будь-який номер телефону, пов’язаний з акаунтом Google. Ця проблема відкривала шлях до атак на SIM-карти та ставила під загрозу мільйони користувачів смартфонів на Android, чиї номери часто є ключем до облікового запису.
Про це розповідає ProIT
Механізм атаки та наслідки
Номер телефону традиційно розглядається як конфіденційна інформація, проте завдяки знайденій вразливості зловмисники могли з’ясувати його навіть за допомогою простого перебору числових комбінацій — так званого brute force. Майже всі власники Android-пристроїв перебували в зоні ризику, адже їхні телефонні номери прив’язані до Google-акаунтів.
«Цей експлойт є досить небезпечним, бо фактично відкриває “золоту жилу” для тих, хто займається підміною SIM-карт», — прокоментував незалежний дослідник безпеки під псевдонімом brutecat, який і виявив проблему.
Підміна SIM-карт — це тип атаки, коли зловмисник отримує контроль над номером жертви, після чого здатен приймати її дзвінки й повідомлення. Це дозволяє отримати доступ до різноманітних акаунтів, зокрема поштових скриньок, криптовалютних бірж і банківських додатків.
Як працювала уразливість і як її виправили
SIM-обмінники часто використовують таку інформацію для викрадення онлайн-ідентифікаторів користувачів і криптовалюти. Зафіксовано випадки, коли подібні атаки проводилися проти великих компаній, а самі хакери співпрацювали з організованими злочинними групами зі Східної Європи.
Отримавши номер, зловмисник міг звернутися до оператора мобільного зв’язку, видаючи себе за власника, і перенаправити повідомлення на свою SIM-карту. В результаті він отримував доступ до кодів для скидання паролів або багатофакторної автентифікації, що відкривало можливість для подальшого злому акаунтів жертви.
Для здійснення атаки хакерам був потрібен лише логін користувача Google. Початково вони передавали жертві право власності на документ Google Looker Studio зі зміненою назвою, через що не надходило повідомлення про зміну власника. Далі за допомогою спеціального коду відбувався автоматизований підбір номера телефону, який не викликав підозр у власника акаунту.
Під час експерименту brutecat знадобилось приблизно шість годин, щоб визначити номер телефону, пов’язаний із заданою адресою Gmail. За словами дослідника, перебір номерів для США займав близько години, для Великої Британії — приблизно 8 хвилин, а для низки інших країн — навіть менше хвилини.
Вразливість уже усунули: Google виправила проблему після повідомлення від дослідника в межах програми винагород. За знайдену уразливість brutecat отримав 5000 доларів. Спершу питання оцінили як низькозагрозливе, але згодом підвищили клас ризику до середнього.