Un ricercatore di sicurezza, Brutecat, ha scoperto un bug nei servizi Google che permetteva a un malintenzionato di risalire rapidamente al numero di telefono di un utente.
Il problema, segnalato dal ricercatore sul suo blog, riguardava una vecchia pagina di recupero dell’username ancora funzionante, ma priva delle moderne misure di sicurezza come BotGuard e protezioni anti-bot. Il ricercatore ha disattivato Javascript nel browser per individuare potenziali falle, scoprendo che la pagina in questione restava vulnerabile anche senza JS abilitato.
Per aggirare i controlli di sicurezza — come il blocco IP e i CAPTCHA — Brutecat ha utilizzato uno script in grado di cambiare indirizzo IP a ogni richiesta e ha riutilizzato il token di BotGuard generato con JS abilitato per automatizzare il processo di attacco.
Grazie al meccanismo di recupero password di Google che mostra le ultime due cifre del numero di telefono insieme al prefisso internazionale, il ricercatore è riuscito a restringere ulteriormente la rosa di numeri da testare. Brutecat ha spiegato di aver effettuato circa 40.000 tentativi al secondo. In alcuni Paesi, come Singapore e Paesi Bassi, sono bastati pochi secondi per individuare un numero, mentre per gli Stati Uniti il tempo medio era di circa 20 minuti.
Brutecat ha segnalato la vulnerabilità ad aprile, ma inizialmente Google aveva classificato il rischio come basso. Dopo un successivo confronto, la società ha rivalutato la minaccia come media e ha implementato contromisure il 22 maggio scorso.
Google ha confermato a TechCrunch di non essere a conoscenza di attacchi reali che abbiano sfruttato questa vulnerabilità.
