اكتشف باحث في مجال الأمان ثغرة يمكن استغلالها لكشف الرقم الخاص لاسترجاع الهاتف لأي حساب Google تقريباً دون تنبيه مالك الحساب، مما قد يعرض المستخدمين لمخاطر تتعلق بالخصوصية والأمان.
أكدت Google لموقع TechCrunch أنها أصلحت الثغرة بعد أن نبه الباحث الشركة في أبريل.
الباحث المستقل، الذي يُعرف بالاسم brutecat وكتب عن اكتشافاته، قال لموقع TechCrunch إنه تمكن من الحصول على رقم الهاتف لاسترجاع حساب Google من خلال استغلال ثغرة في ميزة استرجاع الحساب في الشركة.
آخر الأخبار
الأكثر تفاعلاً
اعتمد الاستغلال على “سلسلة هجمات” من عدة عمليات فردية تعمل بشكل مترابط، بما في ذلك تسريب الاسم الكامل للحساب المستهدف، وتجاوز آلية حماية مضادة للبوتات التي نفذتها Google لمنع البريد العشوائي الضار لطلبات إعادة تعيين كلمة المرور. أدى تجاوز حد المعدل إلى تمكين الباحث من تجربة كل التركيبات الممكنة لرقم هاتف حساب Google في فترة زمنية قصيرة والوصول إلى الأرقام الصحيحة.
من خلال أتمتة سلسلة الهجمات باستخدام برنامج نصي، قال الباحث إنه من الممكن أن يحصل على رقم الهاتف الخاص بمالك حساب Google في 20 دقيقة أو أقل، حسب طول رقم الهاتف.
لاختبار ذلك، أعدت TechCrunch حساب Google جديد برقم هاتف لم يُستخدم من قبل، ثم قدمت للباحث brutecat عنوان البريد الإلكتروني لحساب Google الجديد الخاص بنا.
بعد فترة قصيرة، أرسل brutecat رسالة تحتوي على رقم الهاتف الذي قمنا بتعيينه.
“بنجو :),” قال الباحث.
يمكن أن يؤدي كشف رقم الهاتف الخاص للاسترجاع إلى تعرض حسابات Google حتى المجهولة للهجمات المستهدفة، مثل محاولات الاستيلاء. قد يسهل تحديد رقم الهاتف الخاص المرتبط بحساب شخص ما قيام القراصنة الماهرين بالاستحواذ على ذلك الرقم من خلال هجوم تبديل الشريحة، على سبيل المثال. مع السيطرة على ذلك الرقم، يمكن للمهاجم إعادة تعيين كلمة مرور أي حساب مرتبط بذلك الرقم من خلال توليد رموز إعادة تعيين كلمة المرور المرسلة إلى ذلك الهاتف.
نظرًا للمخاطر المحتملة على العامة، وافقت TechCrunch على تأجيل نشر هذه القصة حتى يتم إصلاح الثغرة.
“تم إصلاح هذه المشكلة. لقد أكدنا دائمًا على أهمية العمل مع مجتمع البحث في الأمان من خلال برنامج المكافآت على الثغرات، ونود أن نشكر الباحث على الإشارة إلى هذه المشكلة،” قالت المتحدثة باسم Google كيمبرلي سامرا لموقع TechCrunch. “تقديمات الباحثين مثل هذه هي واحدة من العديد من الطرق التي تمكنا من خلالها من العثور على المشكلات وإصلاحها بسرعة من أجل سلامة مستخدمينا.”
قالت سامرا إن الشركة لم ترَ “أي روابط مباشرة مؤكدة للاستغلال في الوقت الحالي.”
قالت brutecat إن Google دفعت 5000 دولار كمكافأة عن الثغرة التي اكتشفها.
