IT之家于6月10日发布资讯,网络安全领域的专家BruteCat揭露了一项新的安全风险,指出仅凭用户的谷歌账户昵称及部分手机号码信息,便有可能采取暴力手段成功获取账户的备用手机号码。
BruteCat 暴露了一个废弃的、不支持JavaScript的谷歌用户名恢复页面,该页面缺少了现代的安全防护措施。攻击者能够通过查看用户的个人信息(例如“John Smith”),利用两个POST请求来查询与谷歌账户绑定的手机号码。
BruteCat借助IPv6地址轮转机制,能够生成众多独一无二的IP地址,从而轻易突破表单的速率限制。此外,他还通过替换参数以及获取BotGuard的有效令牌,成功规避了CAPTCHA验证。
最终,他成功研发了一款名为“gpb”的暴力破解软件,该软件能够以每秒40000次请求的速率迅速破解手机号码。以美国号码为例,仅需20分钟便可破解;英国号码则只需4分钟;而荷兰号码则不到15秒即可破解。
发起攻击的前提是必须掌握目标者的电子邮箱信息。尽管谷歌公司去年已经将邮箱地址设置为隐藏状态,但BruteCat团队指出,无需与目标者进行直接交流,只需通过创建Looker Studio文档并将其所有权转移至目标者的Gmail邮箱,便可以获取到目标的显示名称。
此外,通过Google账户的恢复流程,可以展示出部分恢复号码的数字(例如,两位数字),再结合其他服务(比如PayPal)提供的密码重置提示,能够有效减少搜索范围。为此,IT之家特别提供了相应的演示视频。
BruteCat 在 2025 年 4 月 14 日,借助 Google 漏洞奖励计划(VRP)平台,向谷歌公司报告了这一漏洞。起初,谷歌对此漏洞的风险评估较低,然而到了 5 月 22 日,谷歌将风险等级提升至“中等严重”,并据此向该研究员发放了 5000 美元的奖金。
谷歌在6月6日明确表示已经彻底关闭了这个漏洞的接入点,目前攻击手段已经失效,然而是否已经被不法分子利用,目前尚未有确切信息。
