گوگل نقصی امنیتی را برطرف کرده که امکان دسترسی به شماره تلفن کاربران این پلتفرم را برای مهاجمان فراهم میکرد. دسترسی به این اطلاعات خصوصی میتوانست زمینهساز حملاتی همچون فیشینگ یا سرقت هویت شود.
این آسیبپذیری بهصورت خاص مربوط به فرآیند بازیابی حساب کاربری از طریق شماره تلفن بود. به گفته پژوهشگر کشف کننده آن، صفحهای که کاربران از آن برای بازیابی حساب استفاده میکردند، فاقد سیستم امنیتی BotGuard بود. این سامانه به طور معمول از وبسایتها در برابر حملات خودکار، خزندهها و رباتها محافظت میکند اما در صفحاتی که جاوا اسکریپت اجرا نمیشود، عملکرد ندارد.
این پژوهشگر با استفاده از مجموعهای از ترفندها از جمله استفاده از آیپیهای متغیر و دور زدن کپچا، موفق به ارسال ۴۰ هزار درخواست در هر ثانیه شد. با این نرخ، یافتن شماره بازیابی یک حساب در آمریکا تنها حدود ۲۰ دقیقه و در بریتانیا حدود ۴ دقیقه زمان میبرد.
گوگل در فرآیند بازیابی حساب، دو رقم آخر شماره تلفن کاربر را بهعنوان راهنما نمایش میدهد. پژوهشگر با استفاده از همین اطلاعات و بهرهگیری از کتابخانه رسمی گوگل موسوم به "libphonenumber" توانست شمارههایی با فرمت معتبر تولید کند. اما برای نهاییسازی حمله، به نام کامل دارنده حساب نیز نیاز بود.
پژوهشگر کشف کننده این ضعف امنیتی روشی برای استخراج نام کامل کاربران نیز یافته بود: او با بهرهگیری از سرویس Looker Studio (ابزار تحلیل داده گوگل) یک سند ساخت و مالکیت آن را به حساب کاربری قربانی انتقال داد. سپس نام کامل کاربر در بخش «اسناد اخیر» نمایش داده میشد، حتی بدون اینکه کاربر سند را باز کرده یا از وجود آن اطلاعی داشته باشد.
گوگل در واکنش به این افشا اعلام کرد که مشکل اکنون برطرف شده است. سخنگوی گوگل، کیمبرلی سامرا، ضمن قدردانی از این پژوهش گفت که همکاری با جامعه امنیت سایبری از راه برنامه پاداش آسیبپذیریها همواره در اولویت گوگل قرار دارد.
گوگل مدعی شده هیچ گزارش موثقی از سوءاستفاده عملی از این نقصها دریافت نکرده است. با این حال، وجود چنین ضعفهایی نشان میدهد که حتی اطلاعاتی به ظاهر ساده مانند شماره تلفن میتواند به نقطهضعف امنیتی مهمی بدل شود.
توضیحات بیشتر:
Google bug allowed phone number of almost any user to be discovered