• Исследователи BruteCat обнаружили уязвимость, которая позволяла брутфорсить номера телефонов для восстановления любого аккаунта Google, просто зная имя профиля и часть номера. 6 июня компания заявила, что исправила баг.

• Суть атаки заключается в использовании устаревшей версии формы восстановления имени пользователя Google с отключённым JavaScript, в которой отсутствовали современные средства защиты от злоупотреблений. Это создавало риск фишинга и подмены SIM-карт.

• Дело в том, что номер телефона, настроенный пользователями для восстановления аккаунта Google, в подавляющем большинстве случаев совпадает с основным номером. Форма позволяет запрашивать, связан ли номер телефона с учётной записью Google на основе отображаемого имени профиля пользователя («Джон Смит») с помощью двух запросов POST.

• Исследователи обошли средства защиты, ограничивающие скорость перебора номеров используя ротацию адресов IPv6 для генерации триллионов уникальных IP-адресов через подсети /64 для этих запросов. Кроме того, исследователи нашли способ обхода CAPTCHA, присваивая параметру bgresponse=js_disabled действительный токен BotGuard, который был получен из JavaScript-версии той же формы. С помощью этой техники в BruteCat разработали инструмент для подбора паролей (gpb), который перебирает диапазоны номеров, используя форматы, специфичные для страны, и фильтрует ложные срабатывания.

• Исследователь использовал «libphonenumber» от Google для генерации действительных форматов номеров, создал базу данных масок стран для определения форматов телефонов по регионам и написал скрипт для генерации токенов BotGuard через Chrome без заголовка.

• При скорости перебора 40 тысяч запросов в секунду для номеров США потребуется около 20 минут, Великобритании — 4 минуты, а Нидерландов — менее 15 секунд.

• Для реализации атаки требуется адрес электронной почты, но Google скрыла его с прошлого года. В BruteCat обнаружили, что может получить его, создав документ Looker Studio (бывший Google Data Studio) и передав право собственности на Gmail-адрес цели, после чего отображаемое целевое имя в Google появляется на панели инструментов Looker Studio создателя документа, не требуя никакого взаимодействия с целью.

• Далее исследователи могли выполнять повторные запросы, чтобы определить все номера телефонов, связанные с именем профиля. Однако, поскольку могут существовать тысячи учётных записей с одинаковым именем профиля, он сузил область поиска, используя часть привязанного номера телефона. Чтобы получить его, исследователь задействовал рабочий процесс «восстановления учётной записи» Google, который отобразит две

цифры настроенного номера телефона.

«Это время также можно значительно сократить с помощью подсказок по номеру телефона из потоков сброса пароля в других сервисах, таких как PayPal, которые предоставляют несколько дополнительных цифр (например

, +14•••••1779)», — объяснил BruteCat.

• По итогу данный баг был направлен в Google через программу вознаграждения за уязвимости (VRP) 14 апреля 2025 года. Изначально компания посчитала риск эксплуатации бага низким, но 22 мая повысила его до «среднего», применив временные меры по смягчению последствий и выплатив вознаграждение в размере $5000.

➡️ https://brutecat.com/articles/leaking-google-phones
➡️ https://youtu.be/aM3ipLyz4sw

#Новости