近日,安全研究人員BruteCat揭示了一項針對谷歌賬號安全性的重大發現。他通過利用谷歌一個鮮為人知的賬號找回功能,成功破解了部分用戶的手機號碼。
據悉,自2018年起,谷歌便在其賬號登錄服務中引入了基于Java的機器人檢測機制,旨在防止不法分子通過自動化腳本進行惡意操作。然而,BruteCat在實驗中發現,即便關閉了Java,谷歌的賬號找回服務仍能正常使用。這一發現引發了他對該服務安全性的深入探索。
在探索過程中,BruteCat發現,通過兩個簡單的HTTP請求,即可驗證用戶輸入的郵箱地址或手機號碼是否與特定的谷歌賬號相關聯。這一機制雖然便捷,卻也為不法分子提供了可乘之機。
為了防范潛在的攻擊,谷歌采取了多項安全措施,包括限制單一IP的訪問頻率和引入CAPTCHA驗證碼。然而,BruteCat通過采用IPv6動態切換地址,并利用BotGuard的令牌成功繞過了CAPTCHA驗證,從而完全規避了谷歌的限制。在此基礎上,他開發了一段腳本,利用賬號找回服務中顯示的手機號碼號段提示,進行暴力破解。
據BruteCat的測試結果顯示,利用每小時成本僅約0.3美元(約合2.2元人民幣)的云服務器,即可實現每秒4萬次的暴力破解嘗試。其中,破解一個美國電話號碼大約需要20分鐘,英國號碼約4分鐘,荷蘭號碼更是僅需15秒,而新加坡號碼的破解速度最快,僅需5秒即可成功獲取。
面對這一嚴重的安全漏洞,BruteCat在今年4月及時向谷歌提交了相關報告。谷歌對此表示高度重視,并在今年6月成功修復了該漏洞。為了表彰BruteCat的貢獻,谷歌還向他頒發了5000美元(約合35926元人民幣)的漏洞獎勵。
此次事件再次提醒我們,網絡安全問題不容忽視。即便是像谷歌這樣的全球科技巨頭,也需要不斷優化和完善其安全措施,以應對不斷變化的網絡安全威脅。同時,廣大用戶也應提高安全意識,加強賬號保護,避免個人信息泄露。
BruteCat的勇敢揭露和谷歌的及時響應也為我們樹立了榜樣。面對網絡安全漏洞,我們應勇于揭露、積極應對,共同維護一個安全、穩定的網絡環境。
