Исследователь нашёл способ раскрыть любой номер телефона, связанный с аккаунтом Google.

Исследователь в области кибербезопасности обнаружил способ получения телефонного номера, привязанного к любой учетной записи Google, информации, которая обычно не является общедоступной и часто носит конфиденциальный характер. Об этом сообщили как сам исследователь, так и представители Google, а также подтвердили тесты, проведенные изданием 404 Media.

Уязвимость была оперативно устранена компанией Google, однако в момент ее существования она представляла серьезную угрозу конфиденциальности, поскольку даже злоумышленники с ограниченными ресурсами могли бы подобрать личные данные пользователей методом перебора. "Я считаю, что эта уязвимость довольно серьезна, поскольку она представляет собой настоящую золотую жилу для злоумышленников, занимающихся SIM-свопингом", – написал независимый исследователь, известный под ником brutecat, в электронном письме.

В середине апреля мы предоставили brutecat один из наших личных адресов Gmail для проверки уязвимости. Примерно через шесть часов brutecat предоставил верный и полный телефонный номер, привязанный к этой учетной записи. "По сути, это перебор номера", – пояснил brutecat, описывая свой метод. Перебор (brute force) – это когда злоумышленник быстро пробует различные комбинации цифр или символов, пока не найдет нужные. Обычно это делается для подбора пароля, но в данном случае brutecat использовал аналогичный подход для определения телефонного номера пользователя Google.

В электронном письме brutecat сообщил, что перебор номера занимает около одного часа для номера США или 8 минут для номера Великобритании. Для других стран это может занять менее минуты. В сопровождающем видео, демонстрирующем уязвимость, brutecat объясняет, что злоумышленнику необходимо знать отображаемое имя (display name) целевого пользователя. Для этого злоумышленник сначала передает право собственности на документ из продукта Google Looker Studio целевому пользователю. При этом имя документа изменяется на миллионы символов, что приводит к тому, что целевой пользователь не получает уведомления о смене владельца. Используя специально разработанный код, описанный в его отчете, brutecat затем отправляет Google множество предположений о телефонном номере, пока не получит положительный результат.