غوغل ت修复可能导致泄露用户私密电话号码的漏洞

كشف باحث في الأمن السيبراني عن ثغرة أمنية يمكن استغلالها للكشف عن رقم الهاتف السري الخاص بتعافي الحساب لأي حساب على جوجل تقريبًا دون إخطار صاحبه، مما قد يتسبب في مخاطر على الخصوصية والأمان للمستخدمين. أكدت جوجل لصحيفة تك كرانش أنها قد أصلحت الثغرة بعد أن أبلغها الباحث المستقل، الذي يعرف نفسه باسم brutecat، عنها في شهر أبريل. وفقًا للباحث، كان من الممكن الحصول على رقم الهاتف السري لحساب جوجل عن طريق استغلال خطأ في ميزة تعافي الحسابات التي تقدمها الشركة. الثغرة اعتمدت على سلسلة من العمليات الفردية تعمل معًا، بما في ذلك تسريب الاسم الكامل المعروض للحساب المستهدف، وتجاوز آلية حماية مضادة للبرامج الروبوتية التي وضعتها جوجل لمنع إرسال طلبات إعادة تعيين كلمة المرور بشكل مفرط. بتجاوز حد الإرسال، تمكّن الباحث من اختبار كل الاحتمالات المحتملة لرقم هاتف حساب جوجل في وقت قصير، مما يتيح له الوصول إلى الأرقام الصحيحة. لقد أوضح brutecat أنه من خلال تلقين سلسلة الهجوم بأداة برمجية، أصبح من الممكن كسر رقم الهاتف المستخدم لإعادة تعيين حساب جوجل في أقل من 20 دقيقة بناءً على طول رقم الهاتف. لتوضيح الأمر، أنشأت تك كرانش حسابًا جديدًا على جوجل باستخدام رقم هاتف لم يسبق استخدامه، ثم قدمت الباحث brutecat بعنوان البريد الإلكتروني للحساب الجديد. بعد فترة قصيرة، رد brutecat برقم الهاتف الذي تم تحديده، قائلاً: "bingo :)". يمكن أن يؤدي الكشف عن رقم الهاتف السري لحساب جوجل حتى للحسابات المجهولة إلى تعرضها لهجمات مستهدفة مثل محاولات الاستيلاء على الحسابات. فتحديد رقم الهاتف الخاص بحساب جوجل يمكن أن يجعل من السهل على القراصنة المهرة الاستيلاء على ذلك الرقم عبر هجوم تبديل بطاقة SIM (SIM swap attack). بمجرد السيطرة على رقم الهاتف، يمكن للمهاجم إعادة تعيين كلمة مرور أي حساب مرتبط به عن طريق توليد رموز إعادة تعيين كلمة المرور يتم إرسالها إلى الهاتف. نظرًا للمخاطر المحتملة على الجمهور بشكل عام، اتفقت تك كرانش على عدم نشر القصة حتى يتم إصلاح الثغرة. أعلنت جوجل أن المشكلة قد تم حلها وأنها دائمًا تؤكد على أهمية التعاون مع مجتمع الباحثين في مجال الأمن من خلال برنامج مكافآت الثغرات لديها. وأضافت المتحدثة باسم جوجل، كيمبرلي سامرا، أن الشركة تشكر الباحث على إبلاغها بالمشكلة. "مثابرات الباحثين مثل هذه هي واحدة من الطرق العديدة التي نتمكن من خلالها من العثور على المشكلات وإصلاحها بسرعة لضمان سلامة مستخدمينا". ذكرت سامرا أن الشركة لم تشهد أي روابط مباشرة مؤكدة بالاستغلال حتى الآن. قال brutecat إن جوجل دفعت له مكافأة قدرها 5,000 دولار كجزء من برنامج مكافآت الثغرات.