Об этом пишет издание Wired, ссылаясь на информацию от Google и издания 404 Media.
Номер телефона часто является конфиденциальной информацией и не раскрывается. Из-за выявленной уязвимости хакеры могли добыть его даже с относительно небольшими ресурсами, используя метод "грубой силы" (brute force). Под угрозой оказались владельцы практически всех смартфонов под управлением Android, поскольку они привязываются к учетным записям Google.
"Я думаю, что этот эксплойт довольно опасен, поскольку это, по сути, золотая жила для подменщиков SIM-карт", — прокомментировал независимый исследователь безопасности с псевдонимом brutecat, обнаруживший проблему.
Подменщики SIM-карт — это хакеры, которые захватывают доступ к номеру телефона жертвы, чтобы принимать ее звонки и текстовые сообщения, что, в свою очередь, позволяет им взламывать всевозможные учетные записи.
Номера телефонов являются ключевой информацией для SIM-обменников. Хакеры такого рода были связаны с бесчисленными взломами отдельных людей с целью кражи онлайн-имен пользователей или криптовалюты. Но изощренные SIM-обменники также перешли к атакам на крупные компании. Некоторые из них работали напрямую с бандами вымогателей из Восточной Европы.
Имея доступ к номеру телефона, преступник может обратиться к оператору сотовой связи, выдать себя за жертву и попросить перенаправлять сообщения на другую SIM-карту. После этого хакер может запросить на нее сообщения для сброса пароля или коды многофакторной аутентификации и войти в аккаунты жертвы.
Это может быть биржи, где хранится криптовалюта или электронная почта, которая открывает доступ ко многим другим учетным записям, например, к банковским приложениям.
В середине апреля журналисты предоставили brutecat один из адресов электронной почты Gmail для проверки уязвимости. Примерно через шесть часов он назвал правильный номер телефона, привязанный к аккаунту.
По словам исследователя, применяется именно brute force, когда хакер быстро перебирает разные комбинации цифр или символов, пока не находит нужные. Обычно это делается для подбора чьего-то пароля. Поиск занимает около часа для номера из США и около 8 минут для номера из Великобритании, для других стран может потребоваться меньше минуты.
Главное, что нужно хакерам — это имя пользователя в Google. Сначала злоумышленники передают жертве право собственности на документ из продукта Looker Studio от Google. Они меняют имя документа на множество символов, в результате чего цель не была уведомлена о смене владельца. Используя некий пользовательский код, brutecat затем подбирает номер телефона, пока не найдет нужный, при этом жертва не получает никаких предупреждений.
Представитель Google сообщил 404 Media в своем заявлении, что уязвимость уже устранена. Компания отреагировала на сообщение киберэксперта о проблеме, отправленное через программу вознаграждений.
По словам brutecat, компания заплатила ему 5000 долларов. Изначально Google присвоила уязвимости низкую степень угрозы, но затем повысила ее до средней.