Google, kullanıcıların özel telefon numaralarını ifşa edebilecek hatayı düzeltti. Bir güvenlik araştırmacısı, sahibine haber vermeden hemen hemen her Google hesabının özel kurtarma telefon numarasını ifşa edebilen ve kullanıcıları gizlilik ve güvenlik risklerine maruz bırakabilen bir hata keşfetti.
Google telefon numarası ifşası için güvenlik önlemi aldı
Google, araştırmacının nisan ayında şirketi uyarmasının ardından hatayı düzelttiğini doğruladı. Brutecat kullanıcı adını kullanan ve bulgularını blog’da paylaşan bağımsız araştırmacı, yaptığı açıklamada, şirketin hesap kurtarma özelliğindeki bir hatadan yararlanarak bir Google hesabının kurtarma telefon numarasını elde edebildiklerini söyledi.
Bu istismar, hedeflenen bir hesabın tam görüntü adını sızdırmak ve Google’ın parola sıfırlama isteklerinin kötü amaçlı spam’ini önlemek için uyguladığı bir anti-bot koruma mekanizmasını atlatmak da dahil olmak üzere birlikte çalışan birkaç ayrı işlemden oluşan bir “saldırı zincirine” dayanıyordu. Oran sınırını atlatmak, araştırmacının kısa bir süre içinde bir Google hesabının telefon numarasının her olası permütasyonunu dolaşmasına ve doğru rakamlara ulaşmasına olanak sağladı.
Araştırmacı, saldırı zincirini bir komut dosyasıyla otomatikleştirerek, telefon numarasının uzunluğuna bağlı olarak 20 dakika veya daha kısa bir sürede bir Google hesap sahibinin kurtarma telefon numarasının kaba kuvvetle ele geçirilmesinin mümkün olduğunu söyledi.
Özel kurtarma telefon numarasının ifşa edilmesi, anonim Google hesaplarını bile ele geçirme girişimleri gibi hedefli saldırılara maruz bırakabilir. Örneğin, birinin Google hesabıyla ilişkili özel bir telefon numarasının belirlenmesi, yetenekli bilgisayar korsanlarının SIM takas saldırısı yoluyla bu telefon numarasının kontrolünü ele geçirmesini kolaylaştırabilir. Bu telefon numarasının kontrolüyle, saldırgan bu telefon numarasıyla ilişkili herhangi bir hesabın şifresini, o telefona gönderilen şifre sıfırlama kodlarını üreterek sıfırlayabilir.
