Исследователь обнаружил уязвимость в системах аутентификации Google, которая сделала их уязвимыми для атаки методом «брутфорс», в результате чего номера мобильных телефонов пользователей стали доступными для взлома.
Дыра в системе безопасности, обнаруженная хакером в белой шляпе, работающим под ником Brutecat, сделала доступными номера телефонов всех пользователей Google, которые вошли в систему. Проблема заключалась в ошибке в коде, которая позволяла проводить атаки методом перебора учетных записей, что потенциально могло привести к атакам с подменой SIM-карты.»Для раскрытия этого эксплойта Google, который я раскрыл, требуется только адрес электронной почты жертвы, и вы можете получить номер телефона, привязанный к учетной записи», — сообщил Brutecat изданию The Register.
Brutecat обнаружил, что для восстановления учетной записи Google процесс предоставил частичные подсказки по номеру телефона, которыми можно было воспользоваться. Используя облачные сервисы и учетную запись Google Looker Studio, злоумышленник смог обойти системы безопасности и запустить атаку методом перебора.
В сообщении они объяснили, что «после просмотра случайных продуктов Google я обнаружил, что могу создать документ Looker Studio, передайте право собственности на него жертве, и отображаемое имя жертвы будет отображаться на домашней странице, при этом от жертвы не потребуется никакого взаимодействия».
Исследователь также обнаружил старую форму восстановления имени пользователя, которая работала без Javascript, что позволяло им проверять, является ли пользователь адрес электронной почты для восстановления или номер телефона были связаны с определенным отображаемым именем с помощью 2 HTTP-запросов.
После этого они могли «просмотреть поток забытых паролей к этому электронному письму и получить замаскированный телефон».
Наконец, инструмент перебора, который они разработали как gpb, будет работать с отображаемым именем и замаскированным телефоном, чтобы разоблачить номер телефона, используя проверку libphonenumber в режиме реального времени, чтобы отфильтровать неверные запросы номеров, отправленные в API Google.
Вы можете увидеть полный процесс ниже.Создав учетную запись Looker под именем учетной записи Google и задействовав достаточное количество облачных ресурсов для отправки ложных запросов, хакер смог вычислить номер телефона за удивительно короткое время.
- Нидерланды (+31): 15 секунд
- Сингапур (+65): 5 секунд
- Великобритания (+44): 4 минуты
- США (+1): 20 минут
«Я обнаружил ошибку, поскольку был весьма удивлен, что у них были формы восстановления учетной записи, которые работали без JavaScript, поскольку их система защиты от злоупотреблений не работала бы без JavaScript», — сказал Brutecat The Register.
«В частности, это был тот факт, что они делали это с ограничением по IP-адресам. Но с помощью IPv6 чрезвычайно легко получить доступ к триллионам IP-адресов. У них также была проверка, не попадаете ли вы в конечную точку с неправильного IP-адреса, но я смог преодолеть это, используя токен bot guard из JavaScript».
Удивительно, но Google не счел это серьезным недостатком и присудил Brutecat 5000 долларов в рамках своей программы вознаграждения за ошибки..»Google был довольно восприимчив и быстро исправил ошибку», — сказал исследователь. «Благодаря снижению стоимости всей формы по сравнению с другими моими заявлениями, это было сделано намного быстрее. Тем не менее, вознаграждение довольно низкое, если принять во внимание влияние этой ошибки».
«Эта проблема была устранена», — сообщил нам представитель Google. «Мы всегда подчеркивали важность сотрудничества с сообществом исследователей безопасности в рамках нашей программы поощрения за уязвимости, и мы хотим поблагодарить исследователя за то, что он указал на эту проблему. Подобные публикации исследователей — один из многих способов, с помощью которых мы можем быстро находить и устранять проблемы для обеспечения безопасности наших пользователей». ®
