一位安全研究員發現了一個漏洞,可被利用來洩露幾乎所有Google帳戶內的恢復用私人電話號碼,且無需告知帳戶所有者,這可能會使用戶面臨隱私和安全風險。
Google也對媒體證實,在這位研究員於四月向該公司發出警報後,該公司已修復此漏洞。
這位獨立研究員(用戶名為brutecat)在部落格上發布了他們的發現,他表示,他們可以透過利用該公司帳戶恢復功能中的一個漏洞,來獲取Google帳戶的恢復電話號碼。
該漏洞依賴一個由多個獨立進程協同工作的「攻擊鏈」,包括洩露目標帳戶的完整顯示名稱,以及繞過Google為防止惡意發送密碼重置請求,而實施的反機器人保護機制。繞過速率限制最終使這位研究員,能夠在短時間內循環遍歷Google帳戶電話號碼的所有可能排列,並得出正確的電話數字。
