Уязвимост в остарелия формуляр за възстановяване на потребителското име на Google е давала възможност да се получи пълният телефонен номер, свързан с даден акаунт, като се знае само показваното име и част от номера. Тази вратичка сериозно е увеличила риска от целенасочени атаки, вариращи от фишинг до прихващане на SIM картата.
Независим изследовател в областта на киберсигурността откри критична уязвимост в системата на Google, която позволява извличането на телефонния номер, обвързан с акаунта за възстановяване, без знанието на собственика. С помощта на скрипт изследователят е успявал да получи телефонния номер за по-малко от 20 минути.
Както пояснява TechCrunch, уязвимостта се състои в използването на т.нар. верига от атаки, която включва няколко етапа. С нейна помощ изследователят под псевдонима Brutecat е могъл да определи пълното име на собственика на акаунта и да заобиколи защитата срещу автоматизираните заявки, която Google е използвала, за да предотврати злоупотребите. След това в продължение на няколко минути той преминавал през възможните комбинации от телефонни номера и определял правилната опция.
Специалистите от TechCrunch решиха да проверят как работи всичко това. Те са създали нов акаунт в Google с неизползван дотогава телефонен номер и дали на Brutecat само имейл адреса. След кратко време изследователят им дал точния телефонен номер, обвързан с акаунта. Следващият етап на потенциалната атака би бил методът на размяна на SIM картата (SIM swap), при който нападателят поема контрола над телефонния номер. След това паролите могат да бъдат използвани и в крайна сметка нулирани в почти всички услуги, в които е посочен.
Физическите SIM карти отдавна са обект на мошеничества, като посочения по-горе пример подмяната на SIM картата, при която нападателите подмамват оператора да им издаде карта за подмяна, като пишат молба за издаване на нова SIM карта, понеже са изгубили старата. Този метод все още ефективно може да се използва в някои държави. След като по този начин придобият контрол над вашата SIM карта, те могат да прихванат кодовете за двуфакторно удостоверяване, да нулират паролите и дори да получат достъп до чувствителни акаунти и банковите приложения за онлайн банкиране.
Проблемът беше отстранен през април, след като изследователят съобщи за него на Google. Представителят на компанията Кимбърли Самра благодари на Brutecat за откриването на уязвимостта и отбеляза важността на работата с експерти по сигурността. Изследователят получи 5000 долара като част от програмата за възнаграждение за открити грешки.
За отбелязване е, че предвид потенциалния риск TechCrunch запази историята в тайна до отстраняването на уязвимостта. Според Google към момента на публикуване на тази статия няма потвърдени случаи на използване на този експлойт в реални атаки.
Изследователят е съобщил на Google за уязвимостта на 14 април 2025 г. Първоначално компанията оценява риска като нисък, но месец по-късно, на 22 май, повишава нивото на заплаха до средно и въвежда временни мерки за защита. Именно тогава BruteCat получава наградата от 5000 долара за своето изследване. На 6 юни Google напълно деактивира уязвимостта, правейки невъзможно по-нататъшното използване на пробойната.
Коментари
Моля, регистрирайте се от TУК!
Ако вече имате регистрация, натиснете ТУК!
Няма коментари към тази новина !
Последни коментари