Μια σοβαρή ευπάθεια στην υπηρεσία ανάκτησης λογαριασμού της Google, που θα μπορούσε να επιτρέψει σε κακόβουλους χρήστες να αποκαλύψουν τον αριθμό τηλεφώνου ανάκτησης σχεδόν οποιουδήποτε λογαριασμού χωρίς να ειδοποιηθεί ο κάτοχός του, ήρθε στο φως πρόσφατα. Το κενό ασφαλείας εντόπισε ο ανεξάρτητος ερευνητής με το ψευδώνυμο brutecat, ο οποίος ανέλυσε τα ευρήματά του σε σχετική δημοσίευση και ειδοποίησε την Google τον περασμένο Απρίλιο.
Η Google επιβεβαίωσε ότι διόρθωσε το πρόβλημα μετά την αναφορά του ερευνητή,. Το ζήτημα κρίθηκε σοβαρό, καθώς θα μπορούσε να επιτρέψει την αποκάλυψη ιδιωτικών τηλεφωνικών αριθμών ακόμη και για ανώνυμους λογαριασμούς, εκθέτοντας τους χρήστες σε σοβαρούς κινδύνους απορρήτου και ασφάλειας.
Σύμφωνα με τον brutecat, η ευπάθεια εκμεταλλευόταν έναν συνδυασμό επιμέρους διαδικασιών, δημιουργώντας έναν «αλυσίδα επίθεσης». Ο ερευνητής κατόρθωσε να αποκαλύψει το πλήρες εμφανιζόμενο όνομα ενός λογαριασμού Google, να παρακάμψει μηχανισμούς προστασίας κατά των bots και να υπερβεί τα όρια επαναλαμβανόμενων αιτημάτων επαναφοράς κωδικού. Με αυτό τον τρόπο μπορούσε να δοκιμάσει γρήγορα κάθε πιθανό συνδυασμό αριθμών έως ότου καταλήξει στον σωστό αριθμό τηλεφώνου ανάκτησης του λογαριασμού.
Αυτοματοποιώντας τη διαδικασία με ένα σκριπτάκι, ο brutecat κατάφερε να βρει τον αριθμό ανάκτησης ενός λογαριασμού σε λιγότερο από 20 λεπτά, ανάλογα με το μήκος του αριθμού. Η αποκάλυψη ενός τέτοιου αριθμού θα μπορούσε να διευκολύνει στοχευμένες επιθέσεις, όπως το λεγόμενο SIM swapping, μια μέθοδος κατά την οποία ο επιτιθέμενος αναλαμβάνει τον έλεγχο του αριθμού τηλεφώνου του θύματος και στη συνέχεια αποκτά πρόσβαση σε λογαριασμούς που βασίζονται σε επαληθεύσεις μέσω SMS. Η πρόσβαση στον αριθμό επιτρέπει την επαναφορά κωδικών πρόσβασης, οδηγώντας σε ενδεχόμενη κατάληψη των λογαριασμών.
Όπως δήλωσε η εκπρόσωπος της Google, Kimberly Samra, η εταιρεία δεν έχει εντοπίσει επιβεβαιωμένες περιπτώσεις εκμετάλλευσης της ευπάθειας. Παρ' όλα αυτά, αναγνώρισε τη σημασία της συνεργασίας με την κοινότητα της κυβερνοασφάλειας, στο πλαίσιο του προγράμματος ανταμοιβών για τον εντοπισμό κενών ασφαλείας.
Το συγκεκριμένο ζήτημα έχει διορθωθεί. Εκτιμούμε ιδιαίτερα τις ειδοποιήσεις των ερευνητών, καθώς μας βοηθούν να εντοπίζουμε και να αντιμετωπίζουμε γρήγορα τυχόν προβλήματα για την ασφάλεια των χρηστών μας.
Για την αναφορά του, ο brutecat έλαβε αμοιβή ύψους 5000 δολαρίων μέσω του σχετικού bug bounty προγράμματος της Google, ένα ποσό που αντανακλά την αξία τέτοιων παρεμβάσεων στην ενίσχυση της ασφάλειας των διαδικτυακών υπηρεσιών.
[via]
