Malwarebytesは6月10日(米国時間)、「Google bug allowed phone number of almost any user to be discovered|Malwarebytes」において、Googleアカウントの再設定用電話番号を窃取できる脆弱性が発見されたと報じた。

この脆弱性はbrutecatと名乗るセキュリティ研究者により発見された。脆弱性を悪用することで、数秒から十数分ほどで電話番号を特定できるとされる。

  • Google bug allowed phone number of almost any user to be discovered|Malwarebytes

    Google bug allowed phone number of almost any user to be discovered|Malwarebytes

ユーザー名復元ページへの総当たり攻撃

研究者が公開した情報によると、脆弱性はJavaScriptを必要としないユーザー名復元ページに存在したという。このページは回復用の電子メールアドレスまたは電話番号が、特定の表示名に関連付けられているか検証する機能を提供しており、単純なHTTPリクエストを送信するだけで検証できるという(参考:「Bruteforcing the phone number of any Google user」)。

しかしながら、Googleはこの機能にレート制限を設けており、すべての電話番号の確認(総当たり攻撃)を試みると最初の数回でCAPTCHAによる人間確認が行われ、攻撃を妨害される。研究者はこの制限を回避するために、大量のIPv6アドレスを使用した見かけ上の回避策を実施しているが、それでも完全には回避できなかったとしている。

この記事は
Members+会員の方のみ御覧いただけます

ログイン/無料会員登録

会員サービスの詳細はこちら