Нумар тэлефона любога карыстальніка Google можна было даведацца за 20 хвілін

Пра гэта паведаміў незалежны даследчык бяспекі пад псеўданімам BruteCat, які выявіў баг і атрымаў ад кампаніі ўзнагароду ў памеры $5000 праз праграму Vulnerability Reward Program. Па словах даследчыка, уразлівасць дазваляла з высокай дакладнасцю аднаўляць нумар тэлефона, указаны для аднаўлення доступу да акаўнта, прычым без апавяшчэння ўладальніка.

З дапамогай ланцужка атак BruteCat змог абысці абарону ад ботаў, прааналізаваць адлюстроўванае імя профілю і скарыстацца састарэлай формай аднаўлення логіна без JavaScript, якая не мела сучасных абаронных механізмаў. Сутнасць атакі заключалася ў пераборы магчымых нумароў з дапамогай аўтаматызаванага скрыпта, які падстаўляў камбінацыі лічбаў у поле формы і аналізаваў паводзіны сістэмы.

Выкарыстоўваючы проксі з ратацыяй IPv6-адрасоў і атрыманыя токены BotGuard, BruteCat дасягнуў хуткасці да 40 000 запытаў у секунду, што дазволіла падабраць нумар за лічаныя хвіліны. У ЗША — менш чым за 20 хвілін, у Нідэрландах — менш чым за 15 секунд. Каб пацвердзіць уразлівасць, выданне TechCrunch стварыла новы акаўнт Google з раней не выкарыстаным нумарам і перадалі яго адрас даследчыку. Праз кароткі час BruteCat даслаў поўны нумар, пацвердзіўшы паспяховую атаку.

Асаблівую небяспеку уразлівасць уяўляе для ўладальнікаў ананімных акаўнтаў ці актывістаў, бо веданне нумара адкрывае шлях да мэтавых атак — ад сацыяльнай інжынерыі да фішынгу. Атрымаўшы доступ да нумара, зламыснік можа перахопліваць SMS з кодамі аднаўлення і атрымаць кантроль над мноствам сэрвісаў, уключаючы банкаўскія і воблачныя сховішчы. Як высветлілася, уцечку можна было паскорыць, выкарыстоўваючы пабочныя сэрвісы, такія як PayPal, якія адлюстроўваюць больш лічбаў нумара пры спробе скіду пароля, дазваляючы скараціць колькасць магчымых камбінацый.