Сегодня 22 сентября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Критическая дыра в Google: номер телефона любого пользователя можно было узнать за 20 минут

Независимый исследователь в области кибербезопасности обнаружил критическую уязвимость в системе Google, которая позволяла узнать номер телефона, привязанный к аккаунту для восстановления, без ведома владельца. С помощью скрипта исследователь смог получить номер телефона менее чем за 20 минут.

 Источник изображения: Firmbee.com / Unsplash

Источник изображения: Firmbee.com / Unsplash

Уязвимость, как поясняет издание TechCrunch, заключалась в использовании так называемой цепочки атак, включающей несколько этапов. С её помощью исследователь под ником Brutecat мог определить полное имя владельца аккаунта и обойти защиту от автоматизированных запросов, установленную Google для предотвращения злоупотреблений. После этого он перебирал возможные комбинации телефонных номеров в течение нескольких минут и определял правильный вариант.

Журналисты TechCrunch решили проверить, как всё это работает. Они создали новый аккаунт Google с ранее неиспользованным телефонным номером и передали Brutecat только адрес электронной почты. Через короткое время исследователь сообщил им точный номер, привязанный к учётной записи. Следующим этапом потенциальной атаки мог бы стать метод подмены SIM-карты (SIM-своп), при котором злоумышленник перехватывает контроль над номером телефона. После этого можно сбросить пароли практически во всех сервисах, где он указан.

Проблема была решена в апреле после того, как исследователь сообщил о ней в Google. Представитель компании Кимберли Самра (Kimberly Samra) поблагодарила Brutecat за найденную уязвимость и отметила важность сотрудничества с экспертами по безопасности. В рамках программы поощрения за обнаруженные ошибки исследователь получил $5000.

Примечательно, что с учётом потенциального риска TechCrunch держал эту историю в тайне до тех пор, пока уязвимость не была устранена. По данным Google, на момент публикации статьи не было подтверждённых случаев использования данного эксплойта в реальных атаках.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Activision показала «будущее сетевых сражений», но оценили его не все — геймплейный трейлер мультиплеера Call of Duty: Black Ops 7 11 мин.
Американский TikTok избавят от китайских корней — Oracle с нуля переобучит рекомендательный алгоритм 38 мин.
Konami поинтересовалась, ремейки каких Metal Gear фанаты хотят увидеть после Metal Gear Solid Delta: Snake Eater 2 ч.
Обновление Windows 11 сломало приложения для Blu-ray и цифрового ТВ 3 ч.
Майкл Делл, Ларри Эллисон и Лахлан Мёрдок войдут в группу покупателей американского сегмента TikTok 3 ч.
Журналисты проанализировали, почему всё меньше и меньше игр Xbox выходит на дисках 3 ч.
Навязчивые cookie-баннеры могут исчезнуть — в ЕС поняли, что они неэффективны 4 ч.
Календарь релизов — 22–28 сентября: Silent Hill f, Endless Legend 2 и Sonic Racing: CrossWorlds 4 ч.
«Это настоящая магия»: энтузиасты сделали браузерный порт GTA: Vice City и не знают, как его выпустить, чтобы «не нарушить чьи-либо права» 6 ч.
WhatsApp и Telegram стали популярнее в России, несмотря на блокировку звонков 6 ч.
Оперативная память подорожает: Samsung повысила цены на DRAM и мобильную NAND на 5–30 % 4 ч.
OpenYard представила российский GPU-сервер HN203I на базе Intel Xeon 6 4 ч.
Nokia привлекла топ-менеджеров Intel и HPE для перестройки компании 5 ч.
Vastarmor представила Radeon RX 9070 Alloy Pro и Alloy Pro White с термопрокладками с фазовым переходом 6 ч.
Обновление брандмауэра привело минимум к трём смертям — австралийский оператор Optus заблокировал звонки в экстренные службы 6 ч.
Китай построит гигантский ИИ-суперкомпьютер в ответ на американский мегапроект Stargate 6 ч.
У MediaTek появятся процессоры с маркировкой «Сделано в Америке» для избранных клиентов 7 ч.
ASRock представила видеокарты Intel Arc Pro B60 для рабочих станций с ИИ 8 ч.
MediaTek представила Dimensity 9500 — конкурент Apple A19 Pro и первый процессор на ядрах Arm C1 и частотой до 4,21 ГГц 8 ч.
Вышел GL.iNet Comet PoE — компактный IP-KVM с поддержкой PoE и возможностью монтажа в стойку 9 ч.