تقوم Google بإصلاح الأخطاء التي يمكن أن تكشف عن أرقام الهواتف الخاصة للمستخدمين

اكتشف باحث أمني خطأً يمكن استغلاله للكشف عن رقم هاتف الاسترداد الخاص لأي حساب Google تقريبًا دون تنبيه مالكه ، مما قد يعرض المستخدمين لمخاطر الخصوصية والأمان.

أكدت Google لـ TechCrunch أنها أصلحت الخطأ بعد أن نبه الباحث الشركة في أبريل.

أخبر الباحث المستقل ، الذي يتولى مقبض Bretecat وتدوين نتائجه ، TechCrunch الحصول على رقم هاتف الاسترداد لحساب Google عن طريق استغلال خطأ في ميزة استعادة حساب الشركة.

اعتمد الاستغلال على “سلسلة هجوم” للعديد من العمليات الفردية التي تعمل جنبًا إلى جنب ، بما في ذلك تسريب اسم العرض الكامل للحساب المستهدف ، وتجاوز آلية حماية مكافحة البوت التي نفذت Google لمنع البريد العشوائي الضار لطلبات إعادة تعيين كلمة المرور. في نهاية المطاف ، سمح الحد من الحد الأدنى للمعدل بالتجول في كل التقليب المحتمل لرقم هاتف حساب Google في فترة زمنية قصيرة والوصول إلى الأرقام الصحيحة.

من خلال أتمتة سلسلة الهجوم باستخدام برنامج نصي ، قال الباحث إنه من الممكن أن يحدد رقم هاتف استرداد صاحب حساب Google في 20 دقيقة أو أقل ، اعتمادًا على طول رقم الهاتف.

لاختبار ذلك ، قام TechCrunch بإعداد حساب Google جديد برقم هاتف لم يتم استخدامه من قبل ، ثم قدم Bretecat مع عنوان البريد الإلكتروني لحساب Google الجديد الخاص بنا.

بعد ذلك بوقت قصير ، بعث بروتيكات برسولته برقم الهاتف الذي حددناه.

“بينغو :)” ، قال الباحث.

يمكن أن يكشف الكشف عن رقم هاتف الاسترداد الخاص حتى حسابات Google المجهولة للهجمات المستهدفة ، مثل محاولات الاستحواذ. إن تحديد رقم هاتف خاص مرتبط بحساب Google لشخص ما قد يسهل على المتسللين المهرة السيطرة على رقم الهاتف هذا من خلال هجوم SIM Swap ، على سبيل المثال. مع التحكم في رقم الهاتف هذا ، يمكن للمهاجم إعادة تعيين كلمة المرور لأي حساب مرتبط برقم الهاتف هذا عن طريق إنشاء رموز إعادة تعيين كلمة المرور المرسلة إلى هذا الهاتف.

بالنظر إلى المخاطر المحتملة للجمهور الأوسع ، وافق TechCrunch على الاحتفاظ بهذه القصة حتى يمكن إصلاح الخطأ.

وقال كيمبرلي سامرا المتحدث باسم Google لـ TechCrunch: “لقد تم إصلاح هذه المشكلة. لقد شددنا دائمًا على أهمية العمل مع مجتمع أبحاث الأمن من خلال برنامج مكافآت الضعف لدينا ونريد أن نشكر الباحث على وضع علامة على هذه المشكلة”. “إن عمليات تقديم الباحثين مثل هذه هي إحدى الطرق العديدة التي يمكننا من خلالها العثور على المشكلات وإصلاحها بسرعة لسلامة مستخدمينا.”

وقالت سامرا إن الشركة قد شاهدت “أي روابط مؤكدة ومباشرة إلى مآثر في هذا الوقت”.

وقال بروتيكات إن Google دفعت 5000 دولار في مكافأة Bug Bounty على اكتشافها.