Сегодня 02 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Критическая дыра в Google: номер телефона любого пользователя можно было узнать за 20 минут

Независимый исследователь в области кибербезопасности обнаружил критическую уязвимость в системе Google, которая позволяла узнать номер телефона, привязанный к аккаунту для восстановления, без ведома владельца. С помощью скрипта исследователь смог получить номер телефона менее чем за 20 минут.

 Источник изображения: Firmbee.com / Unsplash

Источник изображения: Firmbee.com / Unsplash

Уязвимость, как поясняет издание TechCrunch, заключалась в использовании так называемой цепочки атак, включающей несколько этапов. С её помощью исследователь под ником Brutecat мог определить полное имя владельца аккаунта и обойти защиту от автоматизированных запросов, установленную Google для предотвращения злоупотреблений. После этого он перебирал возможные комбинации телефонных номеров в течение нескольких минут и определял правильный вариант.

Журналисты TechCrunch решили проверить, как всё это работает. Они создали новый аккаунт Google с ранее неиспользованным телефонным номером и передали Brutecat только адрес электронной почты. Через короткое время исследователь сообщил им точный номер, привязанный к учётной записи. Следующим этапом потенциальной атаки мог бы стать метод подмены SIM-карты (SIM-своп), при котором злоумышленник перехватывает контроль над номером телефона. После этого можно сбросить пароли практически во всех сервисах, где он указан.

Проблема была решена в апреле после того, как исследователь сообщил о ней в Google. Представитель компании Кимберли Самра (Kimberly Samra) поблагодарила Brutecat за найденную уязвимость и отметила важность сотрудничества с экспертами по безопасности. В рамках программы поощрения за обнаруженные ошибки исследователь получил $5000.

Примечательно, что с учётом потенциального риска TechCrunch держал эту историю в тайне до тех пор, пока уязвимость не была устранена. По данным Google, на момент публикации статьи не было подтверждённых случаев использования данного эксплойта в реальных атаках.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Tesla провалила старт продаж в Индии — всего 600 заказов за 2,5 месяца 7 мин.
Передовые чипы подорожают: TSMC повысит цены на 10 % из-за трамповских пошлин 49 мин.
Одна плата ASRock уничтожила два Ryzen 7 9800X3D всего за несколько месяцев 2 ч.
В небо над Россией запустят воздушные шары с 5G — альтернатива спутникам Starlink 2 ч.
Мировые продажи электромобилей выросли на 29 % и перевалят за 20 млн в этом году 2 ч.
В умном доме «Сбера» поселился GigaChat — ИИ прокачал голосовое управления и не только 3 ч.
«Не понадобится ни один человек»: доступные роботы позволят Китаю и дальше заваливать мир дешёвыми товарами 3 ч.
Революция в мире оптической связи: Microsoft помогла улучшить характеристики полого оптоволокна 3 ч.
Tecno представила сверхтонкие смартфоны Spark Slim и Pova Slim — меньше 6 мм, но больше 5000 мА·ч 3 ч.
Российский NGFW уровня Enterprise: UserGate выпустила Data Center Firewall для защиты ЦОД и крупных организаций 4 ч.