Час читання: 2 хв.
Дослідники з кібербезпеки виявили спосіб отримати будь-який номер телефону, прив’язаний до облікового запису Google. Ця уразливість дає змогу хакерам здійснювати підміну SIM-карт та інші атаки. Про це повідомляє видання Wired, посилаючись на дані Google та 404 Media.
Номер телефону зазвичай вважається конфіденційною інформацією і не розголошується. Проте через знайдену вразливість хакери можуть дістати його навіть із обмеженими ресурсами, застосовуючи метод «грубої сили» (brute force). Під загрозою опинилися практично всі власники смартфонів на Android, адже їхні номери пов’язані з обліковими записами Google.
Реклама
«Цей експлойт є досить небезпечним, бо фактично відкриває “золоту жилу” для тих, хто займається підміною SIM-карт», — прокоментував незалежний дослідник безпеки під псевдонімом brutecat, який і виявив проблему.
Підміна SIM-карт — це атака, коли зловмисники отримують контроль над номером жертви, приймаючи її дзвінки та повідомлення. Це дозволяє їм зламувати різноманітні акаунти.
Номери телефонів — ключова інформація для SIM-обмінників. Такі хакери були причетні до численних зломів, спрямованих на викрадення онлайн-імен користувачів і криптовалюти. Зараз подібні атаки застосовують і проти великих компаній, часто співпрацюючи зі злочинними групами зі Східної Європи.
Отримавши номер, зловмисник може звернутися до мобільного оператора, видаючи себе за власника, і запросити перенаправлення повідомлень на іншу SIM-карту. Після цього хакер отримує доступ до повідомлень із кодами для скидання паролів або багатофакторної автентифікації, що відкриває шлях до акаунтів жертви.
Це можуть бути біржі криптовалют або поштові скриньки, які дають доступ до інших важливих сервісів, включно з банківськими додатками.
Реклама
У середині квітня журналісти надали brutecat адресу Gmail для тестування. За приблизно шість годин дослідник зміг визначити правильний номер телефону, прив’язаний до цього акаунту.
За словами brutecat, використовується саме brute force — автоматичний перебір числових комбінацій. Для номерів зі США це займає близько години, для Великої Британії — близько 8 хвилин, а в інших країнах — навіть менше хвилини.
Важливо, що хакерам потрібне лише ім’я користувача Google. Спочатку вони передають жертві право власності на документ Google Looker Studio, змінюючи його назву на безліч символів, через що жертва не отримує повідомлень про зміну власника. Далі за допомогою спеціального коду brutecat підбирає номер телефону, не викликаючи жодних попереджень у власника акаунта.
Представник Google повідомив 404 Media, що вразливість вже виправлено. Компанія оперативно відреагувала на повідомлення дослідника, яке надійшло через програму винагород.
За знайдену уразливість brutecat отримав 5000 доларів. Спочатку Google оцінила проблему як низькозагрозливу, але згодом підвищила рівень до середнього.
