Специалисты по кибербезопасности обнаружили способ раскрыть любой номер телефона, привязанный к аккаунту Google. Используя этот метод, злоумышленники могут подменять SIM-карты и не только.
Об этом сообщает журнал Wired, ссылаясь на информацию от Google и издания 404 Media.
Номер телефона часто является конфиденциальной информацией и не разглашается. Из-за обнаруженной уязвимости хакеры могли его получить даже с относительно небольшими ресурсами, применяя метод "грубой силы" (brute force). Под угрозой оказались владельцы почти всех смартфонов под управлением Android, поскольку они привязаны к аккаунтам Google.
"Я считаю, что этот эксплойт довольно опасен, поскольку он, фактически, является золотым дном для подменщиков SIM-карт", — отметил независимый исследователь безопасности под псевдонимом brutecat, который обнаружил проблему.
Подменщики SIM-карт — это хакеры, которые захватывают доступ к номеру телефона жертвы, чтобы принимать её звонки и текстовые сообщения, что, в свою очередь, позволяет им взламывать различные аккаунты.
Номера телефонов являются ключевой информацией для SIM-обменников. Хакеры этого типа были вовлечены в бесчисленные взломы отдельных лиц с целью кражи онлайн-имён пользователей или криптовалюты. Однако опытные SIM-обменники также перешли к атакам на крупные компании. Некоторые из них работали непосредственно с бандами вымогателей из Восточной Европы.
Имея доступ к номеру телефона, злоумышленник может обратиться к оператору сотовой связи, выдать себя за жертву и попросить перенаправить сообщения на другую SIM-карту. После этого хакер может получить сообщения для сброса пароля или коды многофакторной аутентификации и войти в аккаунты жертвы.
Это могут быть биржи, где хранится криптовалюта, или электронная почта, открывающая доступ ко многим другим аккаунтам, например, к банковским приложениям.
В середине апреля журналисты предоставили brutecat один из адресов электронной почты Gmail для проверки уязвимости. Примерно за шесть часов он смог определить правильный номер телефона, привязанный к аккаунту.
Согласно исследователю, используется именно brute force метод, когда злоумышленник быстро перебирает различные комбинации цифр или символов, пока не найдёт нужные. Обычно так делают для подбора чьего-то пароля. Обнаружение занимает около часа для номера из США и около 8 минут для номера из Великобритании, для других стран может потребоваться менее минуты.
Главное, что нужно хакерам — это имя пользователя в Google. Сначала злоумышленники передают жертве право собственности на документ из продукта Looker Studio от Google. Они изменяют название документа на множество символов, поэтому цель не получает уведомление о смене владельца. Используя определённый пользовательский код, brutecat затем подбирает номер телефона, пока не выяснит нужный, при этом жертва не получает никаких предупреждений.
Представитель Google сообщил 404 Media в своем заявлении, что уязвимость уже устранена. Компания отреагировала на сообщение киберэксперта о проблеме, которое было отправлено через программу вознаграждений.
По словам brutecat, компания выплатила ему 5000 долларов. Сначала Google присвоила уязвимости низкую степень угрозы, но затем повысила её до средней.