Связанные с аккаунтом Google уязвимости находят регулярно. Они быстро устраняются, и большинство из них не настолько масштабны, чтобы нести риск обычным пользователям или привлекать внимание в заголовках новостей. Быть может, на этот раз был выявлен более серьёзный случай.
Связанная с аккаунтами Google пользователей ошибка до недавнего времени могла использоваться для раскрытия личного номера телефона для восстановления прав доступа. Уязвимость была раскрыта независимым исследователем, который известен под ником Brutecat. Информацию огласили уже после того, как уязвимость была закрыта Google.
Уязвимость могла использоваться для раскрытия номеров телефонов пользователей с помощью функции восстановления аккаунта Google. С другой информацией о пользователях, которую можно найти в интернете, злоумышленники могли бы выполнять атаки с подменой SIM-карты и захватывать аккаунты пользователей. Злоумышленники также могли использовать этот трюк для кражи личных данных или для целевого фишинга и спама.
Эксплойт использовал не одну уязвимость. Вместо этого применялась сложная «цепочка атак» из нескольких процессов. По словам Brutecat, всё началось с наблюдения, что форма восстановления имени пользователя Google функционировала без JavaScript. Такие формы обычно полагаются на сложные решения BotGuard на основе JavaScript. Большинство форм восстановления требуют JavaScript с 2018 года.
Затем Brutecat рассказал, как форма восстановления имени пользователя Google позволяет проверить, связан ли адрес электронной почты для восстановления или номер телефона с определённым отображаемым именем. Последующий запрос позволил исследователю проверить существование учётной записи Google с заданным номером телефона и отображаемым именем.
Затем исследователь обнаружил, что поток «забыли пароль» учётной записи Google предлагает подсказку по номеру телефона — •• ••••••03. Для примера указан номер в Нидерландах. Если злоумышленник знает страну проживания жертвы, он знает и код страны. Это оставляет только оставшиеся шесть цифр для подбора методом перебора. Для других стран количество неизвестных цифр может отличаться.
Исследователь также нашёл способ узнать полное отображаемое имя учётной записи Google. Создав документ Looker Studio и передав право собственности на него на учётную запись Google жертвы, исследователь мог сделать так, чтобы полное отображаемое имя жертвы появилось на домашней странице Looker Studio — в разделе «принадлежит» документа.
Теперь оставалось только объединить все шаги и собранную на них информацию с помощью автоматизированного скрипта. Используя сервер, исследователь смог выполнить около 40000 перестановок в секунду. Это позволило скрипту выполнить подбор методом перебора за считанные минуты.
По словам исследователя, они сообщили об уязвимости в Google 14 апреля. В Google рассмотрели её уже на следующий день. В мае Google подтвердила, что компания приняла меры по смягчению последствий.