四月份有研究人員發(fā)現(xiàn)谷歌賬戶系統(tǒng)存在安全漏洞，借助此漏洞研究人員可以獲取任意用戶綁定的手機號碼，并且整個過程被獲取手機號碼的用戶不會收到任何提醒。

這個漏洞最初由獨立安全研究人員 brutecat 發(fā)現(xiàn)并通報給谷歌，漏洞主要位于谷歌賬戶恢復(fù)功能中，漏洞利用多個由獨立進程協(xié)同工作的供應(yīng)鏈操作，整個過程較為復(fù)雜但走通整個流程后后續(xù)過程會變得比較簡單。

具體來說研究人員利用漏洞可以繞過谷歌實施的反機器人保護機制，該機制正常情況下會限制用戶發(fā)送密碼重置請求的頻率，但研究人員能夠繞過漏洞并使用遍歷方式進行排列組合。

手機號碼的位數(shù)基本固定且全部都是數(shù)字，所以通過遍歷方式進行排列組合爆破用戶的手機號碼并不是難事，基于此研究人員編寫腳本讓整個攻擊可以自動化，正常情況下可以在 20 分鐘甚至更短時間內(nèi)找出賬戶的真實號碼。

找出目標賬戶的真實號碼后就可以進行多種利用，例如冒充谷歌發(fā)送安全提醒要求用戶輸入密碼進行確認，對于高價值用戶還可以采用 SIM 換卡攻擊來控制這個谷歌賬戶。

現(xiàn)在谷歌已經(jīng)在賬戶系統(tǒng)里將這個漏洞徹底修復(fù)，谷歌稱這起案例也再次凸顯通過漏洞獎勵計劃與安全研究社區(qū)合作的重要性，谷歌感謝報告漏洞的研究人員并提供 5000 美元的漏洞獎金。

另外谷歌經(jīng)過調(diào)查后確認在漏洞修復(fù)前沒有發(fā)現(xiàn)任何與該漏洞有直接關(guān)聯(lián)的攻擊事件，所以沒有用戶的真實手機號碼在此次安全事件中被泄露。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/