Twój numer telefonu był na wyciągnięcie ręki. Google naprawia błąd

Google załatał krytyczną lukę w zabezpieczeniach, która pozwalała atakującym na zdobycie numeru telefonu dowolnego użytkownika. Podatność została wykryta przez badacza pod pseudonimem BruteCat.

Google łata dziurę

Metoda ataku polegała na wykorzystaniu już wycofanej wersji formularza odzyskiwania nazwy użytkownika Google, która działała bez JavaScriptu i nie posiadała nowoczesnych zabezpieczeń przed nadużyciami. To właśnie brak tych zabezpieczeń pozwolił na przeprowadzenie skutecznego ataku i zdobycie numerów telefonów użytkowników.

BruteCat ominął podstawowe zabezpieczenia ograniczające częstotliwość zapytań w formularzu, wykorzystując rotację adresów IPv6. Z kolei żądania CAPTCHA zostały pominięte poprzez zastąpienie parametru 'bgresponse=js_disabled' prawidłowym tokenem BotGuard z formularza z włączonym JavaScriptem.

Mając przygotowaną technikę, BruteCat stworzył narzędzie do brute-force'owania (gpb), które przechodziło przez zakresy numerów, używając formatów specyficznych dla poszczególnych krajów i odfiltrowywało fałszywe wyniki. Badacz wykorzystał bibliotekę Google 'libphonenumber' do generowania prawidłowych formatów numerów, zbudował bazę danych masek krajowych do identyfikacji formatów telefonów według regionu i napisał skrypt do generowania tokenów BotGuard.

Do przeprowadzenia ataku wystarczający był adres e-mail. Co prawda pewnym utrudnieniem były powtarzające się nazwy profilów użytkowników, ale w tym celu udało się zawęzić wyniki dzięki częściowym numerom telefonów. Te uzyskał dzięki mechanizmowi odzyskiwania konta, który ujawnia dwie cyfry numeru telefonu. To znacząco przyspieszyło i ułatwiło cały proces.