谷歌修复重大漏洞，阻止私人电话号码泄露风险

4月，一位独立的安全研究员发现了Google账户恢复功能中的一个严重漏洞，该漏洞可能被用来泄露几乎所有Google账户的私人恢复电话号码，而且不会通知账户所有者，这无疑给用户带来了隐私和安全风险。 该研究员化名brutecat，在自己的博客上详细描述了这一发现。brutecat告诉TechCrunch，通过利用多个流程组成的一条“攻击链”，可以获取目标账户的恢复电话号码。这条攻击链包括泄露目标账户的完整显示名称，以及绕过Google设置的防机器人保护机制，后者原本是为了防止恶意发送大量密码重置请求而设计的。绕过Google的频率限制后，brutecat能够迅速尝试所有的电话号码组合，从而在短时间内找到正确的号码。通过编写自动化的脚本，整个过程可以在20分钟或更短的时间内完成，具体取决于电话号码的长度。 为验证这一漏洞的存在，TechCrunch创建了一个新Google账户并设置了从未使用过的电话号码，然后将这个账户的电子邮件地址提供给了brutecat。不久之后，brutecat果然成功找到了与该邮件地址关联的电话号码。“宾果：），” 研究员高兴地表示。 私人恢复电话号码的泄露，即使是匿名的Google账户也可能遭受针对性攻击，如账户接管。通过得知与某人Google账户关联的私人电话号码，熟练的黑客可以通过SIM卡交换攻击获取该电话号码的控制权。一旦掌握了电话号码，黑客便可以生成发送到该号码的密码重置码，进而重置任何与此号码相关的其他服务账户的密码。这种漏洞的潜在危害十分严重，因此TechCrunch同意在漏洞修复前不公开这一消息。 Google确认在收到通知后立即修复了这一漏洞。该公司发言人Kimberly Samra表示：“我们始终坚持与安全研究社区合作的重要性，通过我们的漏洞奖励计划，我们感谢这位研究员及时报告问题。像这样的提交帮助我们迅速发现并解决问题，保障用户的网络安全。” Samra还提到，目前尚未发现有直接利用此漏洞进行攻击的确凿证据。作为对其工作的认可，Google向brutecat支付了5000美元的漏洞赏金。 业内专家认为，这次事件再次证明了外部安全研究人员对大公司产品和服务的监督至关重要。尽管Google在收到报告后迅速采取了行动，但这一漏洞仍然暴露出其在账户安全方面存在不足。随着网络攻击手段的不断进化，各大科技公司需要继续保持警惕，积极与安全研究社区合作，以防范未来可能出现的风险。 Google是一家全球领先的互联网搜索引擎和技术公司，拥有广泛的业务范围，涵盖搜索、广告、云服务、软件开发等领域。该公司一直以来都非常重视用户安全，通过多种途径与安全研究社区保持密切合作。此次漏洞的快速修复也体现了其响应机制的高效性。