Обнаружена уязвимость Google: любой номер телефона, привязанный к системе, могут украсть

Обнаружена уязвимость Google: любой номер телефона, привязанный к системе, могут украсть

Об этом сообщает  журнал Wired, ссылаясь на информацию от Google и издания 404 Media.

Номер телефона часто является конфиденциальной информацией и не разглашается. Из-за обнаруженной уязвимости хакеры могли его получить даже с относительно небольшими ресурсами, применяя метод "грубой силы" (brute force). Под угрозой оказались владельцы почти всех смартфонов под управлением Android, поскольку они привязаны к аккаунтам Google.

"Я считаю, что этот эксплойт довольно опасен, поскольку он, фактически, является золотым дном для подменщиков SIM-карт", — отметил независимый исследователь безопасности под псевдонимом brutecat, который обнаружил проблему.

Подменщики SIM-карт — это хакеры, которые захватывают доступ к номеру телефона жертвы, чтобы принимать её звонки и текстовые сообщения, что, в свою очередь, позволяет им взламывать различные аккаунты.

Номера телефонов являются ключевой информацией для SIM-обменников. Хакеры этого типа были вовлечены в бесчисленные взломы отдельных лиц с целью кражи онлайн-имён пользователей или криптовалюты. Однако опытные SIM-обменники также перешли к атакам на крупные компании. Некоторые из них работали непосредственно с бандами вымогателей из Восточной Европы.

Имея доступ к номеру телефона, злоумышленник может обратиться к оператору сотовой связи, выдать себя за жертву и попросить перенаправить сообщения на другую SIM-карту. После этого хакер может получить сообщения для сброса пароля или коды многофакторной аутентификации и войти в аккаунты жертвы.

Это могут быть биржи, где хранится криптовалюта, или электронная почта, открывающая доступ ко многим другим аккаунтам, например, к банковским приложениям.

В середине апреля журналисты предоставили brutecat один из адресов электронной почты Gmail для проверки уязвимости. Примерно за шесть часов он смог определить правильный номер телефона, привязанный к аккаунту.

Согласно исследователю, используется именно brute force метод, когда злоумышленник быстро перебирает различные комбинации цифр или символов, пока не найдёт нужные. Обычно так делают для подбора чьего-то пароля. Обнаружение занимает около часа для номера из США и около 8 минут для номера из Великобритании, для других стран может потребоваться менее минуты.

Главное, что нужно хакерам — это имя пользователя в Google. Сначала злоумышленники передают жертве право собственности на документ из продукта Looker Studio от Google. Они изменяют название документа на множество символов, поэтому цель не получает уведомление о смене владельца. Используя определённый пользовательский код, brutecat затем подбирает номер телефона, пока не выяснит нужный, при этом жертва не получает никаких предупреждений.

Представитель Google сообщил 404 Media в своем заявлении, что уязвимость уже устранена. Компания отреагировала на сообщение киберэксперта о проблеме, которое было отправлено через программу вознаграждений.

По словам brutecat, компания выплатила ему 5000 долларов. Сначала Google присвоила уязвимости низкую степень угрозы, но затем повысила её до средней.