Google, hemen hemen her Google kullanıcısının telefon numaralarını almayı mümkün kılan güvenlik açıklarına sahiptir. Kusur, kullanıcıların bir telefon numarası kullanarak Google hesaplarını kurtarmasına izin veren akışta bulundu.
Brutecat adlı bir siber güvenlik araştırmacısı, herhangi bir Google hesabına bağlı telefon numarasını, genellikle herkese açık olmayan ve hassas kabul edilen bilgileri bulabildi.
Brutecat, giriş bilgilerini unutmuşlarsa kullanıcıların Google hesaplarını kurtarabilecekleri sayfanın botGuard koruması olmadığını buldu. BotGuard, web sitelerini ve web uygulamalarını kötü amaçlı botlardan, otomatik saldırılardan, tarayıcılardan ve sıyırıcılardan korumak için tasarlanmış bulut tabanlı bir siber güvenlik çözümüdür.
Ancak Botguard, JavaScript kullanmayan web sitelerinde çalışmaz. Bunun nedeni, gelişmiş algılama tekniklerinin çoğunun, müşteri tarafı verilerini toplamak için ziyaretçinin tarayıcısında JavaScript’i yürütmeye dayanmasıdır. Bir web sitesi JavaScript’e hizmet vermiyorsa veya bir kullanıcı veya bot JavaScript’i devre dışı bırakıyorsa, BotGuard parmak izi veya davranışsal analiz için gerekli bilgileri toplayamaz.
Brutecat ayrıca dönen IP adreslerini ve ara sıra captchas’ı atlamak için bir hile yapmak zorunda kaldı, ancak saniyede 40 bin istekleri yönetebildi. Bu oranda, saldırgan telefon numarasının ülke kodunu biliyorsa, kurtarma telefon numarasını bulmak ABD’de yaklaşık 20 dakika sürer. İngiltere’de daha kısa telefon numaralarına sahip oldukları için 4 dakikaya gelir.
Matematik yapan ve bunu bulmak imkansızdır, Google’ın telefon numarasının son iki sayısını bir ipucu olarak görüntülediğini bilmek önemlidir ve Brutecat, Google’ın geçerli numara formatları oluşturmak için kendi kütüphanesi ‘libphonenumber’ kullandı.
Ancak araştırmacı, hedeflenen bir hesabın tam görüntüsüne de ihtiyaç duyuyordu. Araştırmacı, Looker Studio’daki (eski adıyla Google Data Studio) bir özellikten yararlanarak Google hesabı görüntüleme adlarını sızdırmak için bir yöntem keşfetti. Araştırmacı, Google’ın Looker Studio aracında bir rapor/belge yaptı. Ardından, belgenin sahibini kurbanın Google hesabına değiştirdi (kurbanın e -posta adresini kullanarak). Mülkiyeti aktardıktan sonra, kurbanın tam adı, kurban belgeyi hiç açmasa, onunla etkileşime girmese veya bunu bilse bile, Looker Studio ana sayfasının “Son Belgeler” listesinde otomatik olarak göründü. Bunun anahtarı, Looker Studio’nun arayüzünün, şimdi daha önce etkileşim gerektiren diğer Google hizmetlerinin aksine, kurbandan herhangi bir işlem gerektirmeden belge transferleri için isimler gösterdiğini bulmaktı.
Google sözcüsü Kimberly Samra TechCrunch’a şunları söyledi:
“Bu sorun çözüldü. Güvenlik açığı ödülleri programımız aracılığıyla güvenlik araştırma topluluğuyla çalışmanın önemini her zaman vurguladık ve bu sorunu işaretledikleri için araştırmacıya teşekkür etmek istiyoruz. Bunun gibi araştırmacı gönderimleri, kullanıcılarımızın güvenliği için sorunları hızlı bir şekilde bulabildiğimiz ve çözebildiğimiz birçok yoldan biri.”
Google ayrıca, bu güvenlik açıklarının istismarları hakkında onaylanmış raporların farkında olmadığını söylüyor.
Bununla birlikte, bir saldırganın bunun gibi Google hesaplarına telefon numaralarını izlemesine izin veren bir zayıflık, özellikle kullanıcıların çoğunluğu hesap kurtarma numarası olarak birincil telefon numarasına sahip olacağı için kimlik avı ve SIM değiştirme saldırıları için büyük bir risk oluşturur.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.