Google виправив помилку, яка могла розкривати телефоні номери користувачів без їх попередження під час відновлення облікового запису, пише TechCrunch.

Це виявив незалежний дослідник під ніком brutecat у квітні. Експлойт [ комп'ютерна програма, яка використовує вразливості в програмному забезпеченні та призначена для атак на обчислювальну систему –ред.]спирався на «ланцюжок атак» з кількох окремих процесів, що працювали разом. Він включав в себе витік повного імені облікового запису та обхід механізму захисту від ботів, який Google впровадив, аби запобігти зловмисному спаму запитів на скидання пароля. 

Обхід обмеження швидкості дозволив досліднику за короткий проміжок часу пройти всі можливі перестановки номера телефону облікового запису Google та отримати правильні цифри. У залежності від довжини номера на це йшло 20 хвилин або й менше.

У чому небезпека

Виявлення номера телефону, пов’язаного з чиїмось обліковим записом Google, може допомогти кваліфікованим хакерам отримати контроль над цим номером телефону. Наприклад, через атаку заміни SIM-картки.

Завдяки якому можна буде скинути пароль будь-якого облікового запису, пов’язаного з цим номером телефону через генерацію кодів скидання пароля, які надсилатимуться на цей телефон.

Google виплатив brutecat 5000 доларів США винагороди за виявлення помилок.

   

Компанія Google оновила свій логотип «G» вперше за майже десять років.

 Обкладинка: Priscilla Du Preez