Sin previo aviso del propietario, los investigadores de seguridad pueden descubrir errores que pueden ser explotados para revelar los números de teléfono de recuperación privada para casi cualquier cuenta de Google, lo que pone a los usuarios en riesgos de privacidad y seguridad.
Google confirmó con TechCrunch que solucionó un error después de que los investigadores advirtieron a la compañía en abril.
Un investigador independiente que escribió sus hallazgos utilizando BruteCat en el mango le dijo a TechCrunch que podía usar errores en la función de recuperación de la cuenta de la compañía para obtener un número de teléfono de recuperación para una cuenta de Google.
El exploit se basó en una «cadena de ataque» de varios procesos individuales que trabajan en conjunto, incluida la fuga completa del nombre de visualización de la cuenta objetivo y eludiendo el mecanismo de protección contra el bote que Google implementó para evitar el spam malicioso en las solicitudes de reinicio de la contraseña. El omisión de los límites de tasa finalmente permitió a los investigadores recorrer cualquier posible permutación de los números de teléfono de la cuenta de Google en poco tiempo, alcanzando el número correcto.
Al automatizar la cadena de ataque con los scripts, los investigadores dijeron que es posible forzar el número de teléfono de recuperación del propietario de la cuenta de Google en 20 minutos, dependiendo de la longitud del número de teléfono.
Para probar esto, TechCrunch Configuración de una nueva cuenta de Google utilizando un número de teléfono que nunca antes se ha utilizado y proporcionó a BruteCat la dirección de correo electrónico de la nueva cuenta de Google.
Después de un tiempo, BruteCat envió un mensaje con el número de teléfono que habíamos configurado.
«Bingo :)», dijo el investigador.
Al revelar su número de teléfono de recuperación privada, incluso las cuentas anónimas de Google pueden estar expuestas a ataques objetivo como los intentos de adquirir. Identificar el número de teléfono privado asociado con la cuenta de Google de alguien puede facilitar que un hacker calificado controle ese número de teléfono a través de un ataque de intercambio SIM. Al controlar ese número de teléfono, un atacante puede restablecer la contraseña de la cuenta asociada con ese número de teléfono generando un código de restablecimiento de contraseña enviado al teléfono.
Dados los riesgos potenciales para el público más amplio, TechCrunch acordó mantener esta historia hasta que se solucionó el error.
«Este problema se ha solucionado. Siempre hemos enfatizado la importancia de trabajar con la comunidad de investigación de seguridad a través de nuestro programa de recompensas de vulnerabilidad. Nos gustaría agradecer a los investigadores por marcar este problema». «Dichas presentaciones de los investigadores son una de las muchas maneras de encontrar y solucionar rápidamente el problema en aras de la seguridad del usuario».
Samra dijo que la compañía «no expondrá ningún enlace directo que se haya confirmado en este momento».
Brutecat dijo que Google pagó $ 5,000 en dinero de premios de error por su descubrimiento.
Source link
