Google recently patched a security flaw that allowed attackers to quickly retrieve users' phone numbers. The vulnerability was discovered by researcher Brutecat, who exploited an outdated account recovery module lacking modern security features. By using scripts to bypass IP blocks and CAPTCHAs, attackers could generate potential phone numbers based on partial information provided by Google's password recovery feature. Google patched the issue after initially downplaying its severity. 2025-6-10 14:45:41 Author: www.securityinfo.it(查看原文) 阅读量:6 收藏
Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Giu 10, 2025 Attacchi, Hacking, In evidenza, News, RSS, Vulnerabilità
Di recente Google ha agito su un bug che consentiva di individuare il numero di telefono degli utenti dei servizi della compagnia. A individuare per primo la problematica è stato Brutecat, un ricercatore di sicurezza che ha illustrato la scoperta sul suo blog.
Tutto è cominciato quando il ricercatore ha disabilitato Javascript sul proprio browser per verificare se vi fossero dei servizi Google che funzionassero anche senza JS; dall’analisi è emerso che una pagina obsoleta ma funzionante per il recupero dello username effettivamente eseguiva il flusso anche senza Javascript abilitato.
Questo modulo per il recupero del nome utente è una versione semplificata di quello moderno dove non sono implementate le stesse misure di sicurezza, come la protezione anti-bot BotGuard o sistemi contro gli attacchi brute-force. C’erano comunque due meccanismi di sicurezza da superare: il blocco dell’IP dopo un certo numero di tentativi di login e il CAPTCHA. Per superare il primo problema, il ricercatore ha usato uno script che faceva in modo che ogni richiesta al server provenisse da un indirizzo IP diverso.
Per la seconda problematica, invece, Brutecat ha sfruttato il token BotGuard (parametro bgresponse) generato nella richiesta alla pagina di recupero con JS abilitato usandolo nel modulo obsoleto. Il token viene utilizzato per confermare che la sessione è legittima ed è servito quindi al ricercatore per automatizzare il flusso di attacco, senza incappare nei CAPTCHA.
Conoscendo il nome e il cognome delle vittime, eseguire l’attacco non è così difficile. Un altro “aiuto” da Google deriva dalla funzione di recupero password che, inserito l’indirizzo email, mostra le ultime due cifre del numero di telefono e il prefisso internazionale. Questo, in generale, consente di ridurre il numero di tentativi per scoprire il numero.
Con questo indizio, lo script di Brutecat si limitava a generare tutti i numeri possibili che rispettassero il formato del Paese della vittima e finisse con le due cifre mostrate da Google. A ogni richiesta, lo script inviava il nome e cognome della vittima, il nuovo indirizzo IP, il token botguard e il numero di telefono da testare, fino a ottenere un risultato positivo dal server.
L’impatto del bug di Google
Riducendo notevolmente la quantità di numeri di telefono possibili da testare e sfruttando le vulnerabilità del modulo di recupero obsoleto per aggirare i controlli, Brutecat è riuscito nel suo intento.
Il ricercatore ha spiegato di aver effettuato circa 40.000 tentativi al secondo. Per scoprire un numero di telefono statunitense ha impiegato in media 20 minuti, mentre per un numero del Regno Unito soltanto 4. Nel caso di numeri olandesi e di Singapore, il tempo medio è di pochi secondi.
Brutecat ha individuato il bug lo scorso aprile e ha immediatamente avvertito Google. Inizialmente la compagnia aveva ritenuto che la probabilità che un attaccante riuscisse a sfruttare la vulnerabilità fosse bassa e che quindi non ci fosse bisogno di un intervento urgente. In seguito a un ulteriore confronto col ricercatore, Google ha innalzato la probabilità a “media” e lo scorso 22 maggio ha rilasciato alcune modifiche per mitigare il rischio di attacco.
Contattata da TechCrunch, Google ha chiarito che al momento non è a conoscenza di attacchi che hanno sfruttato questa vulnerabilità.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh