Kritična sigurnosna ranjivost u Google-ovom sistemu za oporavak računa omogućila je hakerima da dobiju telefonske brojeve bilo kojeg Google korisnika putem sofisticiranog napada grubom silom, prema otkriću istraživača sigurnosti BruteCat-a objavljenom ove sedmice.
Ranjivost, koja je u međuvremenu ispravljena, iskorištavala je Google-ov obrazac za oporavak korisničkog imena bez JavaScripta kako bi zaobišla sigurnosne zaštite i izvukla osjetljive lične podatke.
Ranjivost se fokusirala na Google-ov stari sistem za oporavak korisničkog imena koji je funkcionisao bez omogućenog JavaScripta. Istraživač sigurnosti otkrio je da se ova zaboravljena krajnja tačka može manipulisati kako bi se provjerilo da li su određeni brojevi telefona povezani s određenim prikazanim imenima, stvarajući priliku za sistematsko nabrajanje brojeva telefona.
Metodologija napada uključivala je tri ključna koraka: prvo, dobijanje korisničkog imena mete na Google računu putem Looker Studija prenosom vlasništva nad dokumentom, što bi otkrilo ime žrtve bez ikakve potrebne interakcije.
Drugo, pokretanje Google-ovog procesa zaboravljene lozinke za preuzimanje maskiranog telefonskog broja, prikazujući samo posljednjih nekoliko cifara. Konačno, korištenje prilagođenog alata pod nazivom “gpb” za brute-forsiranje cijelog telefonskog broja testiranjem kombinacija u odnosu na poznato prikazano ime, navodi se u izvještaju BruteCat-a .
Ranjivost otkriva brojeve telefona korisnika
Istraživač je savladao Google-ove zaštite koje ograničavaju brzinu slanja podataka pametnim tehničkim rješenjima. Korištenjem IPv6 adresnih raspona koji pružaju preko 18 kvintiliona jedinstvenih IP adresa, napad je mogao rotirati kroz različite adrese za svaki zahtjev, efektivno zaobilazeći Google-ove mehanizme protiv zloupotrebe.
Osim toga, istraživač je otkrio da se botguard tokeni iz obrazaca koji podržavaju JavaScript mogu prenamijeniti za verziju bez JS-a, eliminirajući captcha izazove koji bi inače spriječili automatizovane napade.
Napad se pokazao izuzetno efikasnim, a istraživač je postigao približno 40.000 pokušaja verifikacije u sekundi koristeći skromni server od 0,30 dolara po satu.
U zavisnosti od pozivnog broja zemlje, kompletni telefonski brojevi mogu se izdvojiti u vremenskim okvirima, od samo nekoliko sekundi za manje zemlje poput Singapura do oko 20 minuta za Sjedinjene Američke Države.
Google je obaviješten o ranjivosti 14. aprila 2025. godine i brzo je reagovao implementacijom privremenih mjera za ublažavanje problema dok je radio na trajnom rješenju.
Kompanija je u potpunosti ukinula ranjivi obrazac za oporavak korisničkog imena No-JS do 6. juna 2025. godine, čime je efektivno eliminisan vektor napada.
Google je prepoznao ozbiljnost otkrića, prvobitno dodijelivši 1.337 dolara prije nego što je povećao nagradu na 5.000 dolara nakon što se istraživač žalio, navodeći nedostatak preduslova za napad i njegovu neotkrivenu prirodu.
Ovaj incident naglašava trenutne sigurnosne izazove koje predstavljaju naslijeđeni sistemi i važnost sveobuhvatnih sigurnosnih revizija na svim krajnjim tačkama usluga, čak i onima koje se čine zastarjelim ili rijetko korištenim.
Izvor: CyberSecurityNews
