A Google corrigiu recentemente uma falha de segurança grave que permitia descobrir números de telefone associados a contas Google. O problema permitia ataques brute-force com base apenas no nome de perfil e num número parcial, colocando os utilizadores em risco de ataques de phishing ou clonagem de cartões SIM. A vulnerabilidade estava ligada a um antigo formulário de recuperação de conta, que não tinha os mecanismos de defesas habituais (e indispensáveis nos tempos modernos).
O investigador BruteCat descobriu o bug e demonstrou como podia ser explorado através de uma ferramenta que gerava números válidos por país. Com técnicas para contornar limites de pedidos e resolver CAPTCHAs com tokens legítimos, era possível testar dezenas de milhares de números por segundo. Nalguns casos, bastavam segundos para descobrir um número de telefone.
BruteCat também encontrou forma de obter emails escondidos, ao transferir a posse de um documento para o Gmail do alvo, revelando o nome de perfil. Com essa informação, era possível usar o formulário de recuperação para identificar o número completo. A Google ainda mostrava dois dígitos dos números durante a recuperação de conta, facilitando o processo.
Inicialmente, a Google considerou o risco baixo, mas após nova análise aumentou a gravidade da falha, aplicou correcções e atribuiu ao investigador uma recompensa de 5.000 dólares. O formulário vulnerável foi removido a 6 de Junho de 2025. Não se sabe se a falha foi usada de forma maliciosa, mas a sua remoção elimina mais um potencial vector de ataque para hackers.
Sem comentários:
Enviar um comentário (problemas a comentar?)