Нумар тэлефона любога карыстальніка Google можна было даведацца за 20 хвілін
Кампанія закрыла сур’ёзную ўразлівасць у сістэме аднаўлення профілю, якая магла дазволіць зламыснікам вызначыць нумар тэлефона, прывязаны да любога акаўнта Google.
Кампанія закрыла сур’ёзную ўразлівасць у сістэме аднаўлення профілю, якая магла дазволіць зламыснікам вызначыць нумар тэлефона, прывязаны да любога акаўнта Google.
Пра гэта паведаміў незалежны даследчык бяспекі пад псеўданімам BruteCat, які выявіў баг і атрымаў ад кампаніі ўзнагароду ў памеры $5000 праз праграму Vulnerability Reward Program. Па словах даследчыка, уразлівасць дазваляла з высокай дакладнасцю аднаўляць нумар тэлефона, указаны для аднаўлення доступу да акаўнта, прычым без апавяшчэння ўладальніка.
З дапамогай ланцужка атак BruteCat змог абысці абарону ад ботаў, прааналізаваць адлюстроўванае імя профілю і скарыстацца састарэлай формай аднаўлення логіна без JavaScript, якая не мела сучасных абаронных механізмаў. Сутнасць атакі заключалася ў пераборы магчымых нумароў з дапамогай аўтаматызаванага скрыпта, які падстаўляў камбінацыі лічбаў у поле формы і аналізаваў паводзіны сістэмы.
Выкарыстоўваючы проксі з ратацыяй IPv6-адрасоў і атрыманыя токены BotGuard, BruteCat дасягнуў хуткасці да 40 000 запытаў у секунду, што дазволіла падабраць нумар за лічаныя хвіліны. У ЗША — менш чым за 20 хвілін, у Нідэрландах — менш чым за 15 секунд. Каб пацвердзіць уразлівасць, выданне TechCrunch стварыла новы акаўнт Google з раней не выкарыстаным нумарам і перадалі яго адрас даследчыку. Праз кароткі час BruteCat даслаў поўны нумар, пацвердзіўшы паспяховую атаку.
Асаблівую небяспеку уразлівасць уяўляе для ўладальнікаў ананімных акаўнтаў ці актывістаў, бо веданне нумара адкрывае шлях да мэтавых атак — ад сацыяльнай інжынерыі да фішынгу. Атрымаўшы доступ да нумара, зламыснік можа перахопліваць SMS з кодамі аднаўлення і атрымаць кантроль над мноствам сэрвісаў, уключаючы банкаўскія і воблачныя сховішчы. Як высветлілася, уцечку можна было паскорыць, выкарыстоўваючы пабочныя сэрвісы, такія як PayPal, якія адлюстроўваюць больш лічбаў нумара пры спробе скіду пароля, дазваляючы скараціць колькасць магчымых камбінацый.
Рэдызайн iOS, пераклад у рэальным часе, ШІ для аплікацый: галоўныя анонсы Apple WWDC 2025
Рэдызайн iOS, пераклад у рэальным часе, ШІ для аплікацый: галоўныя анонсы Apple WWDC 2025
CEO Google: патрэбны новы тэрмін для ШІ, бо ён бывае дурнаваты
CEO Google: патрэбны новы тэрмін для ШІ, бо ён бывае дурнаваты
CEO Perplexity: ШІ-прадукты Google жахлівыя, мы стварылі канкурэнта Chrome
CEO Perplexity: ШІ-прадукты Google жахлівыя, мы стварылі канкурэнта Chrome
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.