Google korrigiert Sicherheitslücke bei Telefonnummern

Google behebt Fehler, der private Telefonnummern von Nutzern preisgeben könnte Ein Sicherheitsforscher hat einen Fehler entdeckt, der ausgenutzt werden konnte, um die private Wiederherstellungstelefonnummer fast jedes Google-Kontos zu enthüllen, ohne den Kontoinhaber zu informieren. Dies stellt eine potenzielle Gefahr für die Privatsphäre und Sicherheit der Nutzer dar. Google bestätigte gegenüber TechCrunch, dass der Fehler behoben wurde, nachdem der Forscher das Unternehmen im April darüber informiert hatte. Der unabhängige Forscher, der sich unter dem Pseudonym "brutecat" bekannt machte und seine Erkenntnisse in einem Blog veröffentlichte, erklärte TechCrunch, dass er die Wiederherstellungstelefonnummer eines Google-Kontos durch Ausnutzung eines Fehlers im Kontowiederherstellungssystem der Firma ermitteln konnte. Das Ausnutzungsverfahren basierte auf einer Kette von mehreren individuellen Prozessen, die zusammenarbeiten mussten. Dazu gehörten das Leaken des vollständigen Anzeigenamens des angegriffenen Kontos und das Umgehen einer Anti-Bot-Schutzmechanismus, den Google implementiert hatte, um das maligne Spamming von Passwort-Rücksetzanfragen zu verhindern. Das Umgehen der Rate-Limit ermöglichte es dem Forscher, innerhalb kurzer Zeit alle möglichen Kombinationen der Telefonnummer eines Google-Kontos durchzugehen und so die richtigen Ziffern zu bestimmen. Durch die Automatisierung dieser Kette mit einem Skript konnte der Forscher die Wiederherstellungstelefonnummer eines Google-Kontoinhabers in weniger als 20 Minuten, abhängig von der Länge der Telefonnummer, ermitteln. Um dies zu überprüfen, erstellte TechCrunch ein neues Google-Konto mit einer noch nie verwendeten Telefonnummer und stellte "brutecat" die E-Mail-Adresse unseres neuen Google-Kontos zur Verfügung. Kurze Zeit später meldete sich "brutecat" zurück und gab uns die Telefonnummer zurück, die wir gesetzt hatten. „Bingo :),“ sagte der Forscher. Die Offenlegung der privaten Wiederherstellungstelefonnummer kann selbst anonyme Google-Konten für gezielte Angriffe wie Account-Übernahmen gefährden. Die Identifizierung einer privaten Telefonnummer, die mit einem Google-Konto verbunden ist, erleichtert es erfahrenen Hackern, diese Telefonnummer durch einen SIM-Swap-Angriff zu kontrollieren. Mit der Kontrolle über diese Telefonnummer kann der Angreifer Passwörter aller Konten, die mit dieser Nummer verbunden sind, durch Generieren von Passwort-Rücksetz-Codes, die an dieses Telefon gesendet werden, zurücksetzen. Angesichts der potenziellen Gefahr für die breite Öffentlichkeit einigte sich TechCrunch darauf, die Story bis zur Behebung des Fehlers nicht zu veröffentlichen. „Dieses Problem wurde gelöst. Wir haben immer die Bedeutung der Zusammenarbeit mit der Sicherheitsforschergemeinschaft betont, insbesondere durch unser Vulnerability Rewards Program, und möchten den Forscher für die Hinweise danken," sagte Kimberly Samra, Sprecherin von Google zu TechCrunch. „Solche Einreichungen von Forschern sind einer der vielen Wege, wie wir Probleme schnell finden und beheben können, um die Sicherheit unserer Nutzer zu gewährleisten.“ Samra erklärte, dass das Unternehmen bisher keine bestätigten direkten Ausbeutungen des Fehlers gesehen habe. "Brutecat" gab an, dass Google ihm 5.000 US-Dollar als Bug-Bounty-Belohnung ausgezahlt habe. Diese Behebung zeigt, wie wichtig die Zusammenarbeit zwischen Unternehmen und Sicherheitsforschern ist. Google wird damit weiterhin auf seiner Mission, die Sicherheit seiner Nutzer zu verbessern, fortgeschritten. Das Unternehmen hat in der Vergangenheit bereits häufig auf solche Zusammenarbeit gesetzt und dadurch zahlreiche Sicherheitslücken geschlossen. Diese Episode unterstreicht auch, wie kritisch es ist, ständig auf der Hut zu sein und Sicherheitsaspekte im digitalen Raum ernst zu nehmen.