Google’ın hesap kurtarma sistemindeki kritik bir güvenlik açığı, bu hafta yayınlanan bir Brutecat güvenlik araştırmacının açıklamasına göre, kötü amaçlı aktörlerin herhangi bir Google kullanıcısının telefon numaralarını sofistike bir kaba kuvvet saldırısı yoluyla almalarını sağladı.
O zamandan beri yamalı olan güvenlik açığı, güvenlik korumalarını atlamak ve hassas kişisel bilgileri çıkarmak için Google’ın Javascript Olmayan Kullanıcı Adı Kurtarma Formu’nu kullandı.
Güvenlik açığı, Google’ın JavaScript olmadan işlev gören eski kullanıcı adı kurtarma sistemine odaklanmıştır. Bir güvenlik araştırmacısı, belirli telefon numaralarının belirli ekran adlarıyla ilişkili olup olmadığını doğrulamak için bu unutulmuş uç noktanın manipüle edilebileceğini keşfetti ve sistematik telefon numarası numaralandırması için bir fırsat yarattı.
.png
)
Saldırı metodolojisi üç temel adım içeriyordu: birincisi, belge sahipliğini aktararak bir hedefin Google Hesabı Ekran Adını almak, herhangi bir etkileşim olmadan kurbanın adını sızdıracak.
İkincisi, Google’ın maskeli bir telefon numarası ipucunu almak için şifre akışını unuttu ve yalnızca son birkaç basamağı gösterdi. Son olarak, bilinen ekran adına karşı kombinasyonları test ederek tam telefon numarasını zorlamak için “GPB” adı verilen özel yapım bir araç kullanarak Brutecat raporunu okur.
Güvenlik Açığı kullanıcıların telefon numaralarını sızdırıyor
Araştırmacı, akıllı teknik çözümlerle Google’ın ücret sınırlayıcı korumalarını aştı. 18 Quintillion’dan fazla benzersiz IP adresi sağlayan IPv6 adres aralıklarını kullanarak saldırı, her bir istek için farklı adreslerden dönebilir ve Google’ın istismar karşıtı mekanizmalarını etkili bir şekilde atlayabilir.
Buna ek olarak, araştırmacı, JavaScript özellikli formlardan botGuard jetonlarının NO-JS sürümü için yeniden kullanılabileceğini ve aksi takdirde otomatik saldırıları önleyecek CAPTCHA zorluklarını ortadan kaldırabileceğini keşfetti.
Saldırı, araştırmacı, mütevazı bir 0.30 $/saat sunucu kullanarak saniyede yaklaşık 40.000 doğrulama denemesi gerçekleştirirken son derece etkili oldu.
Ülke koduna bağlı olarak, tam telefon numaraları Singapur gibi küçük ülkeler için sadece saniyeler arasında ABD için yaklaşık 20 dakikaya kadar değişen zaman dilimlerinde çıkarılabilir.
Google, 14 Nisan 2025’teki güvenlik açığından haberdar edildi ve kalıcı bir çözüme doğru çalışırken geçici hafifletmeler uygulayarak hızlı bir şekilde yanıt verdi.
Şirket, 6 Haziran 2025’e kadar savunmasız NO-JS kullanıcı adı kurtarma formunu tamamen kullanımdan kaldırarak saldırı vektörünü etkili bir şekilde ortadan kaldırdı.
Google, araştırmacının temyiz ettikten sonra, saldırının önkoşul eksikliğine ve tespit edilemeyen doğaya atıfta bulunarak, ödülünü 5.000 dolara çıkarmadan önce başlangıçta 1.337 dolar ödülünü aldı.
Bu olay, eski sistemlerin ortaya koyduğu devam eden güvenlik zorluklarını ve görünüşte kullanılmayan veya nadiren kullanılanlar bile, tüm hizmet uç noktalarında kapsamlı güvenlik denetimlerinin önemini vurgulamaktadır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği