网络安全领域近日曝出一则重大安全漏洞,由知名安全专家BruteCat发现并报告。据BruteCat透露,通过利用谷歌用户个人资料的名称和部分手机号码信息,攻击者能够成功破解出与之关联的账户恢复手机号码。
这一漏洞的发现源于BruteCat对一个已被谷歌弃用的无Java版本用户名恢复表单的深入研究。该表单缺乏必要的现代安全防护措施,使得攻击者能够利用用户的显示名称(例如“John Doe”)通过两个简单的POST请求,查询到与该谷歌账户绑定的手机号码。
为了绕过表单的速率限制,BruteCat巧妙地运用了IPv6地址轮转技术,生成大量唯一的IP地址,从而轻松地规避了简单的速率限制机制。同时,他还通过替换参数和获取有效的BotGuard令牌,成功地绕过了CAPTCHA验证,进一步降低了攻击的难度。
在此基础上,BruteCat开发了一款名为“gpb”的暴力破解工具,该工具能够以每秒40000次请求的速度,迅速破解出目标的手机号码。据他透露,利用这款工具,破解美国号码仅需约20分钟,英国号码则只需4分钟,而荷兰号码的破解时间更是不到15秒。
然而,这一攻击并非无懈可击。攻击者首先需要获取目标的电子邮箱地址。尽管谷歌在去年已经将邮箱设为隐藏,但BruteCat指出,通过创建Looker Studio文档并将所有权转移至目标的Gmail地址,攻击者仍然能够获取到目标的显示名称。
BruteCat还提到,利用谷歌账户恢复流程中显示的恢复号码部分数字(如2位),结合其他服务(如PayPal)的密码重置提示,可以进一步缩小手机号码的搜索范围,从而提高破解的成功率。
BruteCat在2025年4月14日通过谷歌的漏洞奖励计划(VRP)报告了这一安全漏洞。尽管谷歌最初评估认为风险较低,但在随后的一个月内,谷歌将风险等级提升为“中等严重”,并向BruteCat支付了5000美元的奖励。
谷歌在6月6日正式确认,已经完全废弃了存在漏洞的端点,使得这一攻击路径不再可行。然而,关于这一漏洞是否曾被恶意利用,目前仍不得而知。
