Bir güvenlik araştırmacısı, Google’ın hesap kurtarma sisteminde, saldırganların herhangi bir Google kullanıcısının telefon numaralarını almasına ve telefon numaralarını almasına izin veren kritik bir güvenlik açığı açıklamıştır.
2025 yılında keşfedilen güvenlik açığı, Google’ın JavaScript olmadan çalışmaya devam eden, modern güvenlik korumalarını atlayan ve sistematik telefon numarası numaralandırma saldırılarını sağlayan kullanıcı adı kurtarma formundan yararlandı.
Araştırmacı, Google’ın kullanıcı adı kurtarma formunun JavaScript devre dışı bırakıldığını keşfettiğinde, bu tür formların 2018’den bu yana karmaşık botguard çözümleri gerektirdiği beklentilerinin aksine JavaScript devre dışı bırakıldığını keşfettiğinde güvenlik açığı ortaya çıktı.
.png
)
Saldırı, Google’ın hesap sistemine iki kritik HTTP isteğinden yararlandı, önce bir “ESS” değeri oluşturmak için bir telefon numarası gönderdi, ardından belirli bir görüntü adlarıyla bir Google hesabının var olup olmadığını doğrulamak için bu değeri kullandı.
Başlangıçta, sistem IP tabanlı oran sınırlama ve captcha zorlukları ile korundu.
Bununla birlikte, araştırmacı bu korumaları IPv6 adres rotasyonunu kullanarak atlatarak, 18 Quintillion’dan fazla mevcut adres sunan /64 IP aralıkları tarafından sağlanan geniş adres alanını kullandı.
Atılım, “JS_DISIBLE” parametresini JavaScript özellikli formlardan meşru botGuard jetonlarıyla değiştirirken, işlevselliği sürdürürken istek sınırlarını etkili bir şekilde ortadan kaldırırken geldi.
Google Güvenlik Açığı
Tam saldırı zinciri, telefon numaralarını başarılı bir şekilde çıkarması için üç temel bileşenin gerektirdiği.
İlk olarak, saldırganların, araştırmacının keşfettiği hedefin Google Hesap Görüntü adını almaları gerekiyordu, belge oluşturarak ve kurbanlara sahipliği aktararak Google’ın Looker stüdyosu aracılığıyla sızdırılabilir.
İkincisi, unutulmuş şifre akışı, Hollanda sayıları için “——– 03” gibi son birkaç basamağı gösteren maskeli telefon numarası ipuçları sağladı.
Bu bilgilerle, saldırganlar araştırmacının “GPB” adlı özel aracını kullanarak sistematik olarak kaba kuvvetli telefon numaraları olabilir.
İşlem, ülkeye özgü biçimlendirme kurallarına ve mobil öneklere dayalı geçerli telefon numarası kombinasyonlarının oluşturulmasını ve ardından her sayıyı Google’ın kurtarma sistemine göre test etmeyi içeriyordu.
Saatte 0,30 dolara mal olan tüketici sınıfı donanım kullanan araştırmacı, saniyede yaklaşık 40.000 doğrulama denemesi gerçekleştirerek büyük ölçekli saldırıları bile mümkün kıldı.
Gereken zaman, farklı telefon numarası formatları nedeniyle ülkeye göre önemli ölçüde değişmiştir. Amerika Birleşik Devletleri sayıları, sadece son iki basamakla kaba kuvvet için yaklaşık 20 dakika gerektirirken, Singapur gibi daha küçük ülkelerin sadece 5 saniyeye ihtiyacı vardı.
PayPal gibi diğer hizmetlerden ek telefon numarası ipuçları, daha bilinen rakamlar sağlayarak saldırı süresini önemli ölçüde azaltabilir.
Google’ın yanıtı ve güvenlik sonuçları
Rapora göre, Google başlangıçta araştırmacıya 1.337 dolar artı promosyon ürünleri verdi ve düşük sömürü olasılığı belirtti.
Ancak, saldırının önkoşul eksikliğini ve tespit edilemeyen nitelikte bir temyiz başvurusunun ardından Google, toplam ödülü 5.000 dolara çıkardı.
Şirket, tam uç nokta kullanımdan kaldırılması için çalışırken acil hafifletmeler uyguladı.
Güvenlik açığı zaman çizelgesi, ilk Nisan 2025 raporundan, Google’ın javascript olmayan kullanıcı adı kurtarma formunun tamamen kullanımdan kaldırıldığını doğruladığı Haziran 2025’e kadar tam çözüm yoluyla yayıldı.
Bu dava, eski sistem uyumluluğunun sağladığı devam eden güvenlik zorluklarını ve saldırganların görünüşte zararsız özelliklerle modern korumaları atlamak için kullandığı sofistike yöntemleri vurgulamaktadır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.