吳明宜Google 近期修補了一系列漏洞,這些漏洞可能會被用來取得任何使用者的電話號碼。
這批漏洞是由一名代號 Brutecat 和 Skull 的研究人員發現並通報 Google 。他是在今年關閉瀏覽器中的 JavaScript 以便判斷 Google 服務沒有了 JavaScript 是否還能運作時,發現了這批漏洞。
他發現 Google 的帳號恢復表格還能運作,讓他得以利用 2 個 HTTP 呼叫查詢恢復用的電子郵件或電話號碼是否和特定帳號顯示名稱關聯。
進一步測試後他發現,他還可以透過暴力破解攻擊,取得與顯示名稱關聯的電話號碼。只要每次 HTTP 呼叫使用 IPv6 位址,以及由 Google 取得的 BotGuard token,繞過 Google 的限流 (rate-limiting) 防護。
要濫用這項漏洞,使其取得任何用戶的電話,這名研究人員還需要設法取得和特定 Gmail 信箱位址的顯示名稱。他最後濫用了一個稱為 Looker Studio 的 Google 服務,這服務可將資料轉變成報告和儀表板。他建立了一份 Looker Studio 文件,再將所有權轉給目標對象的郵箱,導致該目標顯示名稱曝露出來。
而當這些元素集結起來,攻擊者若知道目標用戶的電子信箱地址,就能以 Looker Studio 取得其顯示名稱,該名稱就能配合密碼恢復頁取得被部份遮罩的電話號碼(最後兩碼),然後用暴力破解手法即可取得完整電話號碼。
電話號碼可是高度敏感資訊,通常是社交工程或其他攻擊手法的目標。
Brutecat 指出,一筆美國電話號碼大約 20 分鐘可以取得,英國只要 4 分鐘,荷蘭和新加坡則只要幾秒鐘的工夫,而這次攻擊研究人員只租了一台每小時 0.3 美元的伺服器就完成了。
Google 在四月中獲得通報,五月到六月初就解決了漏洞。 Google 並頒發了 5,000 美元給 Brutecat 。
三月間,這名研究人員也揭露了 Youtube 一個曝露內容創作者電子郵件位置的漏洞,獲頒 2 萬美元。
來源:SecurityWeek