Edgar Cervantes / Android Authoritytl; Dr Google nie umyślnie ujawni nazwę lub numer telefonu powiązany z kontem, ale seria luk umożliwiła atakującym. Narzędzia odzyskiwania konta firmy zostały porwane, aby umożliwić brutalne wymuszanie numeru telefonu. Od tego czasu Google wyeliminował tę lukę, zapobiegając atakowi. Oczywiste jest, że niektóre dane osobowe, takie jak nasze numery ubezpieczenia społecznego, są ważne, aby zachować prywatność, ale co z czymś w rodzaju numeru telefonu? Chociaż chętnie udostępniasz to znajomym i firmom, obecnie numer telefonu może być bardzo potężny, szczególnie gdy jest powiązany ze wszystkimi twoimi kontami i używany przez wielu dla 2FA. Właśnie dlatego firmy takie jak Google pracują, aby Twój numer był w tajemnicy – przynajmniej starają się. Ale teraz nowy raport rzuca światło na podatność, która mogła pozwolić atakującym brutalne wymuszenie numeru telefonu podłączonego do Twojego konta Google. Publikowane przez Brutecat, centra ataku na narzędzi Google zapewniają odzyskiwanie konta, gdy masz problemy z logowaniem się. Podczas gdy zdecydowana większość formularzy Google korzysta z JavaScript, aby ograniczyć automatyzację BOT, ta jedna strona nie wydawała się, że jedna strona nie wydawała się wymagać. Zaintrygowany, Brutecat kontynuował wybieranie go, i ostatecznie odkrył serię luk, które, gdy się ze sobą przyciągają, mogą ostatecznie ujawnić numer telefonu powiązany z kontem. Wszystko zaczyna się od sprytnego użycia narzędzia Google Looker Web Analytics. Oferuje wskazówkę na numer telefonu podłączony do konta, zapewniając ostatnie dwie cyfry, które pomogą je rozpoznać (na wypadek, gdybyś żonglował wieloma wierszami). Aby udowodnić, że jesteś tym, kim jesteś, spodziewasz się podać swoje imię i nazwisko i pełny numer telefonu. Looker Studio ujawniło już informacje o nazwie, ale jak uzyskać resztę numeru telefonu? Zajęło to trochę, ale Brutecat był w stanie ominąć pewne środki ostrożności związane z ograniczaniem stawek, które Google zaimplementował, skutecznie pozwalając mu po prostu zgadywać na brakujących cyfr numeru telefonu, dopóki nie zrobił to. Google dostarcza wystarczającej ilości informacji, aby wymyślić kod kraju i wiedząc, że może zawęzić prawidłowe kody lub prefiks obszaru, zmniejszając rozmiar wyszukiwania i przyspieszając atak. Ostatecznie strona była w stanie przejść przez możliwości i zawęzić rzeczy do właściwej liczby w niecałe 20 minut – nawet o 4 minuty dla niektórych liczb w niektórych krajach. Google został poinformowany o podatności w kwietniu w kwietniu, a po ponownej oceny jego ciężkości ostatecznie nagrodził badaczom 5000 USD. Poprawka rozpoczęła się pod koniec ubiegłego miesiąca i jest teraz w pełni rozmieszczona. Google mówi TechCrunch:
Ten problem został naprawiony. Zawsze podkreśliliśmy znaczenie współpracy ze społecznością badań bezpieczeństwa poprzez nasz program nagród podatności i chcemy podziękować badaczowi za oznaczenie tego problemu. Takie zgłoszenia badaczy są jednym z wielu sposobów, w jakie możemy szybko znaleźć i naprawić problemy dla bezpieczeństwa naszych użytkowników.
Chociaż wspaniale jest wiedzieć, że to jedno okno ekspozycji zostało zamknięte, warto również pomyśleć o przeniesieniu przepływu pracy 2FA z czegoś opartego na numerze telefonu do jednego za pomocą czegoś takiego jak aplikacja uwierzytelniającego lub tokena bezpieczeństwa sprzętowego.
Masz wskazówkę? Porozmawiaj z nami! Napisz do naszych pracowników na adres [email protected]. Możesz pozostać anonimowy lub uzyskać uznanie za informacje, to twój wybór.