Google rregullon një gabim që mund të zbulonte numrat privatë të telefonit të përdoruesve
Një studiues sigurie ka zbuluar një gabim që mund të shfrytëzohet për të zbuluar numrin privat të telefonit të rikuperimit të pothuajse çdo llogarie Google pa njoftuar pronarin e saj, duke i ekspozuar potencialisht përdoruesit ndaj rreziqeve të privatësisë dhe sigurisë.
Google konfirmoi për TechCrunch se e rregulloi gabimin pasi studiuesi njoftoi kompaninë në prill.
Studiuesi i pavarur, i cili njihet me pseudonimin brutecat dhe i publikoi gjetjet e tij në blog, i tha TechCrunch se ata mund të merrnin numrin e telefonit të rikuperimit të një llogarie Google duke shfrytëzuar një gabim në funksionin e rikuperimit të llogarisë së kompanisë.
Shfrytëzimi mbështetej në një “zinxhir sulmesh” të disa proceseve individuale që punonin së bashku, duke përfshirë rrjedhjen e emrit të plotë të një llogarie të synuar dhe anashkalimin e një mekanizmi mbrojtës anti-bot që Google zbatoi për të parandaluar dërgimin e padëshiruar me qëllim të keq të kërkesave për rivendosjen e fjalëkalimit. Anashkalimi i limitit të shpejtësisë në fund të fundit i lejoi studiuesit të kalonte nëpër çdo ndryshim të mundshëm të numrit të telefonit të një llogarie Google në një kohë të shkurtër dhe të arrinte në shifrat e sakta.
Duke automatizuar zinxhirin e sulmit me një skript, studiuesi tha se ishte e mundur të futej me forcë numri i telefonit të rikuperimit të një pronari të llogarisë Google në 20 minuta ose më pak, varësisht nga gjatësia e numrit të telefonit.
Për ta testuar këtë, TechCrunch krijoi një llogari të re në Google me një numër telefoni që nuk ishte përdorur kurrë më parë, pastaj i dha brutecat adresën e email-it të llogarisë sonë të re në Google.
Pak kohë më vonë, brutecat na ktheu mesazhin me numrin e telefonit që kishim vendosur.
Bingo:), tha studiuesi.
Zbulimi i numrit privat të telefonit të rikuperimit mund t’i ekspozojë edhe llogaritë anonime të Google ndaj sulmeve të synuara, siç janë përpjekjet për marrjen e kontrollit. Identifikimi i një numri privat telefoni të lidhur me llogarinë Google të dikujt mund ta bëjë më të lehtë për hakerët e aftë të marrin kontrollin e atij numri telefoni përmes një sulmi me ndërrim SIM, për shembull. Me kontrollin e atij numri telefoni, sulmuesi mund të rivendosë fjalëkalimin e çdo llogarie të lidhur me atë numër telefoni duke gjeneruar kode rivendosjeje fjalëkalimi të dërguara në atë telefon.
Duke pasur parasysh rrezikun potencial për publikun e gjerë, TechCrunch pranoi ta mbante këtë histori të pazbuluar derisa të rregullohej gabimi.
“Ky problem është zgjidhur. Ne gjithmonë e kemi theksuar rëndësinë e bashkëpunimit me komunitetin e kërkimit të sigurisë përmes programit tonë të shpërblimeve për dobësitë dhe duam ta falënderojmë studiuesin për sinjalizimin e këtij problemi”, tha zëdhënësja e Google, Kimberly Samra, për TechCrunch. “Paraqitjet e studiuesve si kjo janë një nga shumë mënyrat se si ne jemi në gjendje të gjejmë dhe rregullojmë shpejt problemet për sigurinë e përdoruesve tanë.”
Samra tha se kompania nuk ka parë “asnjë lidhje të konfirmuar dhe të drejtpërdrejtë me shfrytëzime në këtë kohë”.
Brutecat tha se Google pagoi 5,000 dollarë si shpërblim për zbulimin e një gabimi.