Edgar Cervantes / Autoridade Android
Tl; Dr
- O Google não revela intencionalmente o nome ou o número de telefone associado a uma conta, mas uma série de vulnerabilidades possibilitou que os invasores obtenham exatamente isso.
- As ferramentas de recuperação de contas da empresa foram seqüestradas para permitir forçar o número de telefone.
- Desde então, o Google eliminou essa brecha, impedindo o ataque.
É óbvio que algumas informações pessoais, como nossos números de seguridade social, são importantes para manter privado, mas e algo como o seu número de telefone? Enquanto você o compartilha prontamente com amigos e empresas, hoje em dia um número de telefone pode ser uma coisa muito poderosa, especialmente quando está ligada a todas as suas contas e usada por muitos para 2FA. É exatamente por isso que empresas como o Google trabalham para manter seu número um em segredo de perto – pelo menos, elas tentam. Mas agora um novo relatório lança luz sobre uma vulnerabilidade que poderia ter permitido que os atacantes forcem forçar o número de telefone conectado à sua conta do Google.
Publicado por Brutecato ataque centra -se nas ferramentas que o Google fornece para a recuperação da conta quando você está tendo problemas para fazer login. Enquanto a grande maioria dos formulários do Google utiliza JavaScript para ajudar a limitar a automação de bot, esta página não pareceu exigir. Intrigado, Brutecat Continuou a escolher e, finalmente, descobri uma série de vulnerabilidades que, quando se unindo, poderiam acabar revelando o número de telefone associado a uma conta.
Tudo começa com um uso inteligente da ferramenta Looker Studio Web Analytics do Google para obter o nome de exibição vinculado a uma conta do Google – isso é muito parecido com como Brutecat O Pixel Recorder usado da mesma forma em sua recente exploração do YouTube para revelar endereços de email.
A ferramenta de recuperação de conta do Google oferece uma dica no número de telefone conectado a uma conta, fornecendo os dois dígitos finais para ajudá -lo a reconhecê -la (caso você esteja fazendo malabarismos com várias linhas). Para provar que você é quem você é, espera -se fornecer seu nome e número de telefone completo. O Looker Studio já revelou informações sobre o nome, mas como obtemos o restante do número de telefone?
Demorou um pouco, mas Brutecat Foi capaz de evitar algumas precauções que limitam a taxa implementadas, permitindo efetivamente que ele continue adivinhando os dígitos do número de telefone ausentes até acertar. O Google fornece informações suficientes para descobrir o código do país e saber que pode diminuir os códigos ou prefixos de área válidos, reduzindo o tamanho da pesquisa e acelerando o ataque. Por fim, o site conseguiu percorrer as possibilidades e restringir as coisas até o número correto em menos de 20 minutos – tão baixo quanto 4 minutos para alguns números em alguns países.
O Google foi informado da vulnerabilidade em abril e, depois de reavaliar sua gravidade, finalmente recompensou os pesquisadores uma recompensa de US $ 5.000. Uma correção começou a ser lançada no final do mês passado e agora está totalmente implantada. Google diz TechCrunch:
Este problema foi corrigido. Sempre enfatizamos a importância de trabalhar com a comunidade de pesquisa de segurança por meio de nosso programa de recompensas de vulnerabilidades e queremos agradecer ao pesquisador por sinalizar esse problema. Os envios de pesquisadores como esse são uma das muitas maneiras pelas quais podemos encontrar e corrigir rapidamente problemas para a segurança de nossos usuários.
Embora seja ótimo saber que essa janela de exposição foi fechada, também vale a pena pensar em mover seu fluxo de trabalho 2FA de algo baseado em seu número de telefone para um usando algo como um aplicativo autenticador ou token de segurança de hardware.
