網(wǎng)絡(luò)安全領(lǐng)域近日曝出一則重大安全漏洞,由知名安全專家BruteCat發(fā)現(xiàn)并報(bào)告。據(jù)BruteCat透露,通過利用谷歌用戶個(gè)人資料的名稱和部分手機(jī)號(hào)碼信息,攻擊者能夠成功破解出與之關(guān)聯(lián)的賬戶恢復(fù)手機(jī)號(hào)碼。
這一漏洞的發(fā)現(xiàn)源于BruteCat對(duì)一個(gè)已被谷歌棄用的無Java版本用戶名恢復(fù)表單的深入研究。該表單缺乏必要的現(xiàn)代安全防護(hù)措施,使得攻擊者能夠利用用戶的顯示名稱(例如“John Doe”)通過兩個(gè)簡(jiǎn)單的POST請(qǐng)求,查詢到與該谷歌賬戶綁定的手機(jī)號(hào)碼。
為了繞過表單的速率限制,BruteCat巧妙地運(yùn)用了IPv6地址輪轉(zhuǎn)技術(shù),生成大量唯一的IP地址,從而輕松地規(guī)避了簡(jiǎn)單的速率限制機(jī)制。同時(shí),他還通過替換參數(shù)和獲取有效的BotGuard令牌,成功地繞過了CAPTCHA驗(yàn)證,進(jìn)一步降低了攻擊的難度。
在此基礎(chǔ)上,BruteCat開發(fā)了一款名為“gpb”的暴力破解工具,該工具能夠以每秒40000次請(qǐng)求的速度,迅速破解出目標(biāo)的手機(jī)號(hào)碼。據(jù)他透露,利用這款工具,破解美國號(hào)碼僅需約20分鐘,英國號(hào)碼則只需4分鐘,而荷蘭號(hào)碼的破解時(shí)間更是不到15秒。
然而,這一攻擊并非無懈可擊。攻擊者首先需要獲取目標(biāo)的電子郵箱地址。盡管谷歌在去年已經(jīng)將郵箱設(shè)為隱藏,但BruteCat指出,通過創(chuàng)建Looker Studio文檔并將所有權(quán)轉(zhuǎn)移至目標(biāo)的Gmail地址,攻擊者仍然能夠獲取到目標(biāo)的顯示名稱。
BruteCat還提到,利用谷歌賬戶恢復(fù)流程中顯示的恢復(fù)號(hào)碼部分?jǐn)?shù)字(如2位),結(jié)合其他服務(wù)(如PayPal)的密碼重置提示,可以進(jìn)一步縮小手機(jī)號(hào)碼的搜索范圍,從而提高破解的成功率。
BruteCat在2025年4月14日通過谷歌的漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)報(bào)告了這一安全漏洞。盡管谷歌最初評(píng)估認(rèn)為風(fēng)險(xiǎn)較低,但在隨后的一個(gè)月內(nèi),谷歌將風(fēng)險(xiǎn)等級(jí)提升為“中等嚴(yán)重”,并向BruteCat支付了5000美元的獎(jiǎng)勵(lì)。
谷歌在6月6日正式確認(rèn),已經(jīng)完全廢棄了存在漏洞的端點(diǎn),使得這一攻擊路徑不再可行。然而,關(guān)于這一漏洞是否曾被惡意利用,目前仍不得而知。
