Resumen
Un investigador de seguridad descubrió un error crítico de la cuenta de Google que podría haber revelado los números de teléfono de recuperación privada de los usuarios, planteando riesgos como ataques de intercambio de SIM y robo de identidad. El exploit involucró una compleja “cadena de ataque” que aprovecha un formulario de recuperación de discapacidad de JavaScript, nombres de visualización disponibles públicamente (a través de Looker Studio) y el número de teléfono sugiere a los números completos de fuerza bruta en minutos. Google parcheó rápidamente la vulnerabilidad en mayo después de ser reportado por el investigador en abril, confirmando que el problema ahora se soluciona.
Las vulnerabilidades relacionadas con la cuenta de Google no son tan raro. Están parcheados rápidamente antes de una explotación generalizada, y la mayoría no son lo suficientemente grandes como para arriesgar al usuario promedio o ser acelerado. Ese no es necesariamente el caso de lo que un investigador de seguridad descubrió recientemente.
Un error vinculado a las cuentas de Google de los usuarios podría, hasta hace poco, ser explotado para revelar el número de teléfono de recuperación privada del propietario sin el conocimiento del usuario.
Relacionado después de 7 años, Google dejará de pagar a los investigadores para encontrar vulnerabilidades en las aplicaciones populares de Android
Solo afecta las aplicaciones de Play Store
La vulnerabilidad fue expuesta por un investigador independiente que se llama BruteCat (Skull en YouTube) (a través de TechCrunch) hoy, pero solo después de que Google había parcheado la vulnerabilidad.
La vulnerabilidad, que, aunque estaba activa, podría usarse para revelar los números de teléfono de los usuarios a través de la función de recuperación de cuentas de Google. Con otra información relevante, que se puede encontrar en línea, los actores de amenazas que aprovechan este truco podrían realizar ataques de intercambio SIM y posteriormente hacerse cargo de las cuentas de los usuarios. Los actores de amenaza también podrían aprovechar el truco para el robo de identidad o para el phishing y el spam específicos.
Tiempos rápidos de fuerza bruta
El exploit no aprovechó un solo defecto. En cambio, aprovechó una “cadena de ataque” sofisticada de varios procesos. Según BruteCat, todo comenzó con la observación de que la forma de recuperación del nombre de usuario del gigante tecnológico todavía funcionaba sin JavaScript. Dichas formas normalmente se basan en soluciones complejas de “botguard” basadas en JavaScript para medidas anti-abuso, que es una observación notable considerando que la mayoría de los formularios de recuperación han requerido JavaScript desde 2018.
BruteCat luego destacó cómo el formulario de recuperación de nombre de usuario de Google le permite verificar si un correo electrónico de recuperación o un número de teléfono está asociado con un nombre de pantalla específico. Una solicitud posterior luego permitió al investigador verificar la existencia de una cuenta de Google con un número de teléfono y nombre de pantalla dado.
Luego, el investigador descubrió que el flujo ‘Olvided Password’ de la cuenta de Google ofrece una sugerencia de número de teléfono – •• ••••• 03, en los Países Bajos, por ejemplo, como lo destacó el investigador. Ahora, si el explotador conoce al país en el que reside la víctima, pueden deducir el código de país de la víctima. Esto deja solo los seis dígitos restantes para ser forzados. Para otros países, el número de dígitos desconocidos puede variar.
El investigador también encontró una forma novedosa de encontrar el nombre completo de la pantalla de una cuenta de Google. Al crear un documento de Studio Looker y transferir su propiedad a la cuenta de Google de la víctima, el investigador podría hacer que el nombre completo de la visualización de la víctima aparezca en su página de inicio de Studio, bajo la sección ‘Propiedad de’ Propiedad del documento.
Fuente: Brutecat
Ahora, todo lo que quedaba por hacer era poner todos los pasos y la información reunida a través de ellos a través de un script automatizado. Usando un servidor con especificaciones de grado de consumo, el investigador pudo ejecutar aproximadamente 40,000 permutaciones por segundo. Esto permitió que el guión se abriera paso en minutos.
Estados Unidos (+1): se requieren aproximadamente 20 minutos. Reino Unido (+44): se requieren aproximadamente 4 minutos. Países Bajos (+31): se requieren aproximadamente 15 segundos. Singapur (+65): se requieren aproximadamente 5 segundos.
Según el investigador, informaron la vulnerabilidad a Google el 14 de abril, y Google lo trió al día siguiente. En mayo, Google confirmó que había implementado mitigaciones, mientras que el punto final afectado estaba en desuso globalmente.
“Este problema se ha solucionado. Siempre hemos enfatizado la importancia de trabajar con la comunidad de investigación de seguridad a través de nuestro programa de recompensas de vulnerabilidad y queremos agradecer al investigador por marcar este problema”, dijo un portavoz de Google en un comunicado dado a TechCrunch.
Relacionado 6 pasos simples que tomo para que mi cuenta de Google sea casi imposible de piratear
Nunca pierdas el acceso a tu cuenta
