Bezpečnostní výzkumník identifikoval kritickou zranitelnost v systému pro obnovení účtů Google, která mohla útočníkům umožnit získat telefonní čísla uživatelů Googlu zneužitím zastaralého mechanismu obnovení, který fungoval bez novějších ochran JavaScriptu.
Jak byla zranitelnost zneužita?
Ukazuje se, že formulář pro obnovení uživatelského jména od Googlu fungoval s vypnutým JavaScriptem, čímž obcházel moderní ochranu proti botům implementovanou pro jiné služby od roku 2018.
Podle bezpečnostního výzkumníka, který problém objevil, mohli útočníci použít dva specifické HTTP požadavky, které by jim umožnily ověřit, zda je telefonní číslo propojeno s konkrétním účtem Google.
I kdyby obrana Googlu zahrnovala omezení založená na IP adresách a ochranu CAPTCHA, bylo možné rotovat adresy IPv6 a tato omezení zcela obejít.
Scénář útoku z reálného světa
Útočník by nejprve identifikoval zobrazované jméno oběti v účtu Google. Pomocí nápověd z procesu obnovení účtu Google, které odhalují částečná telefonní čísla, by útočníci mohli hrubou silou získat chybějící číslice.
Útočníci by mohli k vynucení telefonních čísel použít běžný hardware, který stojí pouhých 0,30 dolaru za hodinu. V zemích s menším počtem telefonních čísel, jako je Singapur, by to mohlo trvat jen několik minut. V zemích s větším počtem telefonních čísel, jako jsou Spojené státy, by to mohlo trvat 20 minut nebo i déle.
Možné důsledky pro uživatele
Pokud by útočníci tuto zranitelnost objevili jako první, mohlo to vést k:
- Masivní narušení soukromí, odhalení osobních telefonních čísel propojených s účty Google.
- Zvýšené riziko cílených phishingových útoků, podvodů a pokusů o sociální inženýrství, protože útočníci by mohli zneužít osobní telefonní čísla, aby se tvářili důvěryhodně nebo povědomě.
- Možné převzetí kontroly nad účty využitím telefonních čísel při dalších útocích na obnovení a ověřování účtů.
Reakce Googlu
Google původně výzkumníkovi vypsal odměnu 1 337 dolarů, protože se domníval, že je nepravděpodobné, že by zranitelnost byla široce zneužita. Poté, co si však uvědomil její závažnost a potenciální škody, zvýšil odměnu na 5 000 dolarů a problém rychle vyřešil tím, že do června 2025 zcela zablokoval zranitelná procesy.
Co mohou uživatelé dělat?
- Pravidelně kontrolujte a aktualizujte nastavení zabezpečení svého účtu.
- Kdykoli je to možné, povolte dvoufaktorové ověřování (2FA).
- Buďte ostražití a dejte si pozor na neočekávané zprávy, zejména na ty, které požadují osobní údaje nebo údaje o účtu.
Pro více informací o bezpečnosti pro vaše PC nás neváhejte kontaktovat.
Zdroj: Bitdefender
