Исследователь в области безопасности обнаружил уязвимость, которая позволяла раскрыть приватный номер телефона для восстановления практически любого аккаунта Google без уведомления владельца, что создавало риски для конфиденциальности и безопасности пользователей. Представители Google подтвердили TechCrunch, что устранили проблему после получения уведомления от исследователя в апреле.
Независимый специалист, известный под псевдонимом brutecat и опубликовавший детали исследования [https://brutecat.com/articles/leaking-google-phones], объяснил TechCrunch, что смог получить номер для восстановления аккаунта, эксплуатируя ошибку в функции восстановления учетных записей Google.
Эксплойт использовал цепочку из нескольких взаимосвязанных процессов, включая утечку полного имени целевого аккаунта и обход антибот-защиты Google, предназначенной для блокировки спама запросами на сброс пароля. Преодоление ограничения на частоту запросов позволило исследователю последовательно перебирать все возможные комбинации номеров телефонов за короткое время и определить правильную последовательность цифр.
Автоматизировав процесс с помощью скрипта, исследователь заявил, что подбор номера телефона для восстановления аккаунта Google возможен за 20 минут или быстрее, в зависимости от длины номера.
Для проверки TechCrunch создал новый аккаунт Google с ранее не использовавшимся номером телефона и предоставил brutecat адрес электронной почты этого аккаунта. Спустя короткое время исследователь сообщил точный номер, который был установлен в настройках.
“Bingo :)”, — написал brutecat.
Раскрытие приватного номера для восстановления может подвергнуть даже анонимные аккаунты целевым атакам, включая попытки захвата. Знание номера телефона, привязанного к аккаунту, облегчает проведение атак типа SIM-своп [https://techcrunch.com/2025/04/25/techcrunch-reference-guide-to-security-terminology/#sim-swap], что позволяет злоумышленникам получать коды сброса пароля через SMS и брать аккаунты под контроль.
Учитывая потенциальные риски, TechCrunch согласился отложить публикацию материала до устранения уязвимости.
“Проблема исправлена. Мы всегда подчеркивали важность сотрудничества с сообществом исследователей безопасности через программу вознаграждений за уязвимости и благодарим brutecat за сигнал”, — заявила представитель Google Кимберли Самра. “Такие отчеты помогают нам оперативно обеспечивать безопасность пользователей”.
Самра добавила, что на данный момент подтвержденных случаев эксплуатации уязвимости не зафиксировано. Brutecat получил $5,000 через программу bug bounty за обнаружение этой проблемы.