Злам акаунтів Google — дослідник навчився дізнаватися будь-який номер телефона

Дослідник кібербезпеки навчився визначати будь-який номер телефону для зламу акаунтів Google. Метод був перевірений 404 Media та Wired.

Одразу варто сказати, що Google вже закрив уразливість. На час виявлення вона становила реальну загрозу конфіденційності, оскільки визначення номера відбувалося дуже швидко. Це міг зробити навіть хакер-новачок з відносно невеликими ресурсами.

Журналісти попросили Brutecat зламати одну з їхніх особистих адрес Gmail як перевірку. Приблизно через шість годин він вказав правильний та повний номер, пов’язаний з цим обліковим записом.

В основі методу лежить перебір номерів з деякими підготовчими діями. Брутфорс телефонів виявився надзвичайно ефективним: пошук займає близько години для номера зі США або лише вісім хвилин для номера з Великої Британії. Для номерів з інших країн може знадобитися менше ніж хвилина.

Для початку зловмиснику потрібне ім’я користувача в Google. У своєму відео дослідник демонструє спосіб отримати його. Він передає право власності на документ Google Looker Studio цілі. Якщо ім’я документа містить 1 млн символів, жертва не отримує сповіщення про зміну права власності. З використанням допоміжного коду, експериментатор засипає Google варіантами номера телефону, доки не отримає результат. «Потерпілого взагалі не повідомляють», — пише Brutecat.

Далі йдуть звичайні для шахраїв спроби перевипуску SIM-карти, під час якої зловмисник має переконати оператора. Зазвичай, щоб запобігти подібним зламам, американське ФБР та правоохоронці інших країн рекомендують не використовувати для реєстрації акаунтів публічно відомий номер — але це попередження неефективне за умови застосування брутфорса.

Дослідник розповів, що за виявлення вразливості Google нагородив його $5000 та ще деякою сумою за певні знахідки. Спочатку Google позначив уразливість як таку, що має низьку ймовірність використання, пізніше її підвищили до середньої. Зараз уразливість закрита.