谷歌安全漏洞曝光：利用個人資料名稱快速破解關聯手機號

網絡安全領域近日曝出一則重大安全漏洞，由知名安全專家BruteCat發現并報告。據BruteCat透露，通過利用谷歌用戶個人資料的名稱和部分手機號碼信息，攻擊者能夠成功破解出與之關聯的賬戶恢復手機號碼。

這一漏洞的發現源于BruteCat對一個已被谷歌棄用的無Java版本用戶名恢復表單的深入研究。該表單缺乏必要的現代安全防護措施，使得攻擊者能夠利用用戶的顯示名稱（例如“John Doe”）通過兩個簡單的POST請求，查詢到與該谷歌賬戶綁定的手機號碼。

為了繞過表單的速率限制，BruteCat巧妙地運用了IPv6地址輪轉技術，生成大量唯一的IP地址，從而輕松地規避了簡單的速率限制機制。同時，他還通過替換參數和獲取有效的BotGuard令牌，成功地繞過了CAPTCHA驗證，進一步降低了攻擊的難度。

在此基礎上，BruteCat開發了一款名為“gpb”的暴力破解工具，該工具能夠以每秒40000次請求的速度，迅速破解出目標的手機號碼。據他透露，利用這款工具，破解美國號碼僅需約20分鐘，英國號碼則只需4分鐘，而荷蘭號碼的破解時間更是不到15秒。

然而，這一攻擊并非無懈可擊。攻擊者首先需要獲取目標的電子郵箱地址。盡管谷歌在去年已經將郵箱設為隱藏，但BruteCat指出，通過創建Looker Studio文檔并將所有權轉移至目標的Gmail地址，攻擊者仍然能夠獲取到目標的顯示名稱。

BruteCat還提到，利用谷歌賬戶恢復流程中顯示的恢復號碼部分數字（如2位），結合其他服務（如PayPal）的密碼重置提示，可以進一步縮小手機號碼的搜索范圍，從而提高破解的成功率。

BruteCat在2025年4月14日通過谷歌的漏洞獎勵計劃（VRP）報告了這一安全漏洞。盡管谷歌最初評估認為風險較低，但在隨后的一個月內，谷歌將風險等級提升為“中等嚴重”，并向BruteCat支付了5000美元的獎勵。

谷歌在6月6日正式確認，已經完全廢棄了存在漏洞的端點，使得這一攻擊路徑不再可行。然而，關于這一漏洞是否曾被惡意利用，目前仍不得而知。