Bezbednosni istraživač otkrio je propust u Google sistemu koji je omogućavao pristup broju telefona za oporavak gotovo bilo kog naloga. Ova greška nije upozoravala vlasnika naloga, što je predstavljalo ozbiljan rizik po privatnost korisnika.
Google je reagovao i ispravio propust nakon što je obavešten o problemu u aprilu.
Kako je ranjivost funkcionisala
Istraživač poznat pod nadimkom brutecat otkrio je grešku u sistemu za oporavak naloga. Napad se zasnivao na nizu koraka. Prvo se otkrivalo ime vlasnika naloga, a zatim se zaobilazio sistem protiv automatizovanih zahteva.
Nakon toga, istraživač je mogao brzo testirati sve kombinacije brojeva dok ne pronađe tačan. Pomoću automatizovanog skripta, ceo postupak je mogao biti završen za manje od 20 minuta. Dužina telefonskog broja uticala je na brzinu.
Test pokazao tačnost metode
Za potrebe provere, otvoren je novi Google nalog sa neiskorišćenim brojem telefona. Brutecat je dobio samo adresu e-pošte. Ubrzo je uspešno otkrio tačan broj.
„Bingo :)“, poručio je istraživač.
Moguće posledice po korisnike
Otkrivanje broja za oporavak može učiniti i anonimne naloge ranjivim. Hakeri mogu pokušati da preuzmu kontrolu nad brojem telefona putem SIM zamene. Kada dobiju pristup, lako mogu resetovati lozinke naloga povezanih s tim brojem.
Zbog ozbiljnosti problema, objava informacije je odložena dok propust nije otklonjen.
Google: Problem je rešen
„Ovaj problem je rešen. Uvek ističemo važnost saradnje sa bezbednosnom zajednicom kroz naš program nagrađivanja. Zahvalni smo istraživaču što nas je upozorio na grešku“, izjavila je portparolka Google-a Kimberli Samra.
Dodala je da nema potvrđenih slučajeva zloupotrebe ove ranjivosti.
Nagrada za otkriće
Za svoje otkriće, brutecat je od Google-a dobio nagradu od 5.000 dolara.
