网络安全领域近日传来一则重大发现,安全专家BruteCat揭示了一项能够利用谷歌用户信息暴力破解账户恢复手机号码的新漏洞。据悉,这一漏洞源于谷歌一个已被废弃的无Java版本用户名恢复表单,该表单缺乏必要的现代安全防护。
BruteCat通过深入研究,发现攻击者仅需知道用户的个人资料显示名称(例如“张三”)和部分手机号码,便有可能通过该表单暴力破解出完整的恢复手机号码。这一过程中,攻击者会利用两个POST请求,针对谷歌账户关联的手机号码进行查询。
为了绕过表单的速率限制,BruteCat巧妙地运用了IPv6地址轮转技术,生成大量唯一的IP地址,从而轻松规避了简单的速率防护措施。他还通过替换参数和获取有效的BotGuard令牌,成功突破了CAPTCHA验证的防线。
基于上述技术,BruteCat开发了一款名为“gpb”的暴力破解工具,该工具能够以每秒40000次请求的速度,迅速破解手机号码。实验结果显示,破解美国号码仅需约20分钟,英国号码则需4分钟,而荷兰号码更是不到15秒便能成功破解。
值得注意的是,此次攻击的前提是攻击者需要事先获取目标的电子邮箱地址。尽管谷歌去年已将邮箱设为隐藏,但BruteCat指出,攻击者无需与目标进行直接互动,便能通过创建并转移Looker Studio文档的所有权至目标Gmail地址,从而获取目标的显示名称。
更令人担忧的是,攻击者还可以利用谷歌账户恢复流程中显示的部分恢复号码数字(如2位),结合其他服务(如PayPal)的密码重置提示,进一步缩小手机号码的猜测范围。BruteCat还附上了一段演示视频,详细展示了攻击过程。
BruteCat于2025年4月14日通过谷歌漏洞奖励计划(VRP)报告了这一问题。起初,谷歌评估认为该漏洞风险较低,但随后在5月22日将其升级为“中等严重”级别,并向BruteCat支付了5000美元的奖励。
谷歌方面在6月6日确认,已完全废弃了存在漏洞的端点,使得原有的攻击路径不再可行。然而,关于该漏洞是否曾被恶意利用,目前仍不得而知。
