Um pesquisador de segurança descobriu um bug que poderia ser explorado para revelar o número de telefone de recuperação privada de quase qualquer conta do Google sem alertar seu proprietário, potencialmente expondo os usuários sobre riscos de privacidade e segurança.
O Google confirmou ao TechCrunch que corrigiu o bug depois que o pesquisador alertou a empresa em abril.
O pesquisador independente, que segue o Handle Brutecat e escreveu suas descobertas, disse ao TechCrunch que eles poderiam obter o número de telefone de recuperação de uma conta do Google, explorando um bug no recurso de recuperação de contas da empresa.
A exploração contou com uma “cadeia de ataque” de vários processos individuais que trabalham em conjunto, incluindo o vazamento do nome de exibição completa de uma conta direcionada e ignorando um mecanismo de proteção anti-BOT que o Google implementou para impedir a spam malicioso de solicitações de redefinição de senha. Introdução ao limite de taxa, em última análise, permitiu ao pesquisador pedalar em todas as permuções possíveis do número de telefone de uma conta do Google em um curto espaço de tempo e chegar aos dígitos corretos.
Ao automatizar a cadeia de ataque com um script, o pesquisador disse que era possível fazer a força bruta um número de telefone de recuperação do proprietário da conta do Google em 20 minutos ou menos, dependendo da duração do número de telefone.
Para testar isso, o TechCrunch configurou uma nova conta do Google com um número de telefone que nunca havia sido usado antes e forneceu a BruteCat o endereço de email da nossa nova conta do Google.
Pouco tempo depois, a BruteCat enviou uma mensagem com o número de telefone que definimos.
“Bingo :)”, disse o pesquisador.
Revelar o número de telefone de recuperação privada pode expor até contas anônimas do Google a ataques direcionados, como tentativas de aquisição. Identificar um número de telefone privado associado à conta do Google de alguém pode facilitar a obtenção de hackers qualificados assumirem o controle desse número de telefone através de um ataque de troca SIM, por exemplo. Com o controle desse número de telefone, o invasor pode redefinir a senha de qualquer conta associada a esse número de telefone gerando códigos de redefinição de senha enviados para esse telefone.
Dado o risco potencial ao público em geral, o TechCrunch concordou em manter essa história até que o bug pudesse ser corrigido.
“Esse problema foi corrigido. Sempre enfatizamos a importância de trabalhar com a comunidade de pesquisa de segurança por meio de nosso programa de recompensas de vulnerabilidades e queremos agradecer ao pesquisador por sinalizar esse problema”, disse o porta -voz do Google, Kimberly Samra, à TechCrunch. “Os envios de pesquisadores como esse são uma das muitas maneiras pelas quais podemos encontrar e corrigir rapidamente problemas para a segurança de nossos usuários”.
Samra disse que a empresa viu “sem links diretos confirmados para explorações no momento”.
Brutecat disse que o Google pagou US $ 5.000 em uma recompensa de recompensa por insetos por sua descoberta.