網絡安全專家 BruteCat報告新的安全漏洞,僅通過用戶的谷歌個人資料名稱和部分手機號碼,就能暴力破解出賬戶的恢復手機號碼。
BruteCat發現了一個已被廢棄的無 JavaScript版本的谷歌用戶名恢復表單,該表單缺乏現代防護機制。通過用戶的個人資料顯示名稱(如「John Smith」),攻擊者可通過兩個 POST請求查詢與谷歌賬戶關聯的手機號碼。
BruteCat利用 IPv6地址輪轉技術,生成大量唯一 IP位址,輕鬆繞過表單的簡單速率限制。同時,他通過替換參數和獲取有效 BotGuard令牌,成功繞過 CAPTCHA驗證。
最終,他開發出一款暴力破解工具「gpb」,能以每秒40000次請求的速度,快速破解手機號碼。例如,破解美國號碼僅需20分鐘,英國4分鐘,荷蘭不到15秒。
攻擊需先獲取目標的電子郵箱地址。儘管 Google去年已將郵箱設為隱藏,BruteCat表示無需與目標互動,通過創建 Looker Studio文檔並轉移所有權至目標 Gmail地址,就能獲取目標的顯示名稱。
此外,利用 Google賬戶恢復流程可顯示恢復號碼的部分數字(如2位),結合其他服務(如 PayPal)的密碼重置提示,可進一步縮小範圍。
BruteCat於2025年4月14日通過 Google漏洞獎勵計劃(VRP)報告此問題。Google最初評估風險較低,但於5月22日將其升級為「中等嚴重」,並支付研究員5000美元獎勵。
谷歌於6月6日確認已完全廢棄該漏洞端點,攻擊路徑不再可行,但是否曾被惡意利用尚不得而知。
