logo

آرشیو فارسی

Google sign in front of building
امنیت

گوگل باگ افشاکننده شماره تلفن‌های ریکاوری خصوصی را برطرف کرد

باگی در گوگل کشف شد که امکان دسترسی به شماره‌های ریکاوری خصوصی حساب‌ها را فراهم می‌کرد. گوگل این باگ را پس از گزارش یک محقق امنیتی برطرف کرده است.

۱۴۰۴/۰۳/۱۹

گوگل باگی را که توسط یک محقق امنیتی کشف شده بود و می‌توانست شماره تلفن‌های ریکاوری حساب‌های کاربری را افشا کند، برطرف کرد. این باگ پتانسیل حملاتی مانند تعویض سیم‌کارت را داشت و گوگل بابت کشف آن پاداش پرداخت کرد.

یک محقق امنیتی باگی را کشف کرده بود که می‌توانست شماره تلفن ریکاوری خصوصی تقریباً هر حساب گوگل را بدون اطلاع مالک آن فاش کند و کاربران را به‌طور بالقوه در معرض خطرات حریم خصوصی و امنیتی قرار دهد. گوگل به تک‌کرانچ تایید کرد که پس از هشدار این محقق در ماه آوریل، باگ مذکور را برطرف کرده است.

این محقق مستقل که با نام کاربری brutecat شناخته می‌شود و یافته‌های خود را در وبلاگش منتشر کرده است، به تک‌کرانچ گفت که او توانسته است با سوءاستفاده از باگی در قابلیت بازیابی حساب گوگل، شماره تلفن ریکاوری یک حساب را به دست آورد.

این سوءاستفاده بر یک «زنجیره حمله» (attack chain) متشکل از چندین فرآیند فردی که به‌طور هم‌زمان کار می‌کردند، متکی بود؛ از جمله درز کردن نام کامل نمایشی حساب مورد نظر و دور زدن مکانیزم حفاظت ضد ربات که گوگل برای جلوگیری از ارسال مخرب درخواست‌های بازنشانی رمز عبور پیاده‌سازی کرده است. دور زدن محدودیت نرخ (rate limit) نهایتاً به محقق اجازه داد تا تمام ترکیبات ممکن شماره تلفن یک حساب گوگل را در مدت کوتاهی امتحان کند و به ارقام صحیح دست یابد.

این محقق گفت که با خودکارسازی این زنجیره حمله با استفاده از یک اسکریپت، امکان انجام حمله جست‌وجوی فراگیر (brute-force) برای دستیابی به شماره تلفن ریکاوری مالک حساب گوگل در ۲۰ دقیقه یا کمتر، بسته به طول شماره تلفن، وجود داشت.

برای آزمایش این موضوع، تک‌کرانچ یک حساب گوگل جدید با شماره تلفنی که قبلاً استفاده نشده بود، راه‌اندازی کرد و سپس آدرس ایمیل حساب جدید را در اختیار brutecat قرار داد. مدت کوتاهی بعد، brutecat با شماره تلفنی که ما تنظیم کرده بودیم، پیام داد و گفت: «بینگو :)».

افشای شماره تلفن ریکاوری خصوصی می‌تواند حتی حساب‌های ناشناس گوگل را در معرض حملات هدفمند مانند تلاش برای تصاحب حساب قرار دهد. شناسایی شماره تلفن خصوصی مرتبط با حساب گوگل یک فرد می‌تواند انجام حملات تعویض سیم‌کارت (SIM swap attack) توسط هکرهای ماهر را برای کنترل آن شماره تلفن آسان‌تر کند. با کنترل آن شماره تلفن، مهاجم می‌تواند رمز عبور هر حسابی که با آن شماره تلفن مرتبط است را با دریافت کدهای بازنشانی رمز عبور که به آن شماره ارسال می‌شود، تغییر دهد.

با توجه به خطر بالقوه برای عموم مردم، تک‌کرانچ توافق کرد تا زمانی که باگ برطرف شود، گزارش این موضوع را منتشر نکند.

کیمبرلی سامرا، سخنگوی گوگل، به تک‌کرانچ گفت: «این مشکل برطرف شده است. ما همواره بر اهمیت همکاری با جامعه تحقیقات امنیتی از طریق برنامه پاداش آسیب‌پذیری خود تاکید کرده‌ایم و می‌خواهیم از محقق برای اطلاع‌رسانی در مورد این مشکل تشکر کنیم. گزارش‌های محققانی مانند این یکی از راه‌های متعددی است که ما می‌توانیم به‌سرعت مشکلات را برای ایمنی کاربرانمان پیدا و برطرف کنیم.»

سامرا گفت که این شرکت در حال حاضر «هیچ ارتباط مستقیم تایید شده‌ای با سوءاستفاده‌ها مشاهده نکرده است.» brutecat گفت گوگل ۵۰۰۰ دلار پاداش برنامه باگ‌بانتی بابت کشف او پرداخت کرده است.

منبع: تک‌کرانچ

گوگل
به مطالعه ادامه دهید