Исследователь в области кибербезопасности обнаружил уязвимость, которая позволяла подбирать номер телефона для восстановления учетной записи Google, зная лишь имя пользователя и часть его номера. Это создавало серьезный риск фишинга и атак с подменой SIM-карт.
Атака использовала устаревшую форму восстановления имени пользователя, не поддерживающую JavaScript и лишенную современных механизмов защиты от автоматизированного злоупотребления.
По словам исследователя, уязвимость позволяла извлекать номер телефона, привязанный к восстановлению аккаунта — в большинстве случаев он совпадает с основным номером пользователя.
Техника подбора
Устаревшая форма позволяла с помощью двух POST-запросов проверить, связан ли конкретный номер телефона с аккаунтом Google, основываясь на имени пользователя (например, «Иван Иванов»).
Для обхода базовых ограничений исследователь применил ротацию IPv6-адресов, создавая миллионы уникальных IP через подсети /64. CAPTCHA обходилась подменой параметра bgresponse=js_disabled на действительный токен BotGuard, полученный из JS-версии формы.
На основе этой методики был создан инструмент перебора gpb, способный сканировать диапазоны номеров с учётом форматов, специфичных для каждой страны. Для генерации корректных номеров использовалась библиотека Google libphonenumber, а форматирование обеспечивалось собственной базой шаблонов по регионам. Генерация токенов осуществлялась через Headless Chrome.
При скорости в 40 000 запросов в секунду полный перебор возможных номеров занимал:
- США: около 20 минут$
- Великобритания: 4 минуты$
- Нидерланды: менее 15 секунд.
Для начала атаки требовалось знать адрес электронной почты цели, который Google скрывает с 2024 года. Однако исследователь обнаружил, что можно обойти это ограничение: создав документ в Looker Studio и передав его нужному Gmail-адресу, имя получателя отобразится в интерфейсе отправителя без его участия.
Затем с использованием имени и частичного номера (полученного через процедуру восстановления аккаунта, где отображаются две цифры номера) можно было ускорить перебор. Дополнительную информацию давали и сторонние сервисы, например PayPal, где могут отображаться больше цифр (например, +14•••••1779).
Подобная утечка данных представляет серьезную угрозу: жертвы могут стать объектами целевых атак, включая вишинг или замену SIM-карт.
Ответ Google
14 апреля 2025 года о проблеме было сообщено через программу вознаграждений за найденные уязвимости. Первоначально уровень угрозы был признан низким, но позже, 22 мая, его повысили до среднего. Компания приняла меры по защите и выплатила $5000 вознаграждения.
6 июня 2025 года Google полностью отключил уязвимую форму восстановления без поддержки JavaScript. Вектор атаки закрыт, однако неясно, использовался ли он злоумышленниками до момента устранения.
