Будь-який номер телефону, прив'язаний до Google, можуть вкрасти: що загрожує власникам

Дослідники кібербезпеки знайшли спосіб розкрити будь-який номер телефону, прив'язаний до облікового запису Google. З його допомогою хакери можуть підміняти SIM-карти і не тільки.

Про це пише видання Wired, посилаючись на інформацію від Google і видання 404 Media.

Номер телефону часто є конфіденційною інформацією і не розкривається. Через виявлену вразливість хакери могли добути його навіть з відносно невеликими ресурсами, використовуючи метод "грубої сили" (brute force). Під загрозою опинилися власники практично всіх смартфонів під управлінням Android, оскільки вони прив'язуються до облікових записів Google.

"Я думаю, що цей експлойт доволі небезпечний, оскільки це, по суті, золота жила для підмінювачів SIM-карт", — прокоментував незалежний дослідник безпеки на псевдонім brutecat, який виявив проблему.

Підмінники SIM-карт — це хакери, які захоплюють доступ до номера телефону жертви, щоб приймати її дзвінки та текстові повідомлення, що, зі свого боку, дає їм змогу зламувати всілякі облікові записи.

Номери телефонів є ключовою інформацією для SIM-обмінників. Хакери такого роду були пов'язані з незліченними зломами окремих людей з метою крадіжки онлайн-імен користувачів або криптовалюти. Але витончені SIM-обмінники також перейшли до атак на великі компанії. Деякі з них працювали безпосередньо з бандами здирників зі Східної Європи.

Маючи доступ до номера телефону, злочинець може звернутися до оператора стільникового зв'язку, видати себе за жертву і попросити перенаправляти повідомлення на іншу SIM-карту. Після цього хакер може запросити на неї повідомлення для скидання пароля або коди багатофакторної автентифікації та увійти в акаунти жертви.

Це може бути біржі, де зберігається криптовалюта або електронна пошта, яка відкриває доступ до багатьох інших облікових записів, наприклад, до банківських додатків.

У середині квітня журналісти надали brutecat одну з адрес електронної пошти Gmail для перевірки вразливості. Приблизно за шість годин він назвав правильний номер телефону, прив'язаний до акаунта.

За словами дослідника, застосовується саме brute force, коли хакер швидко перебирає різні комбінації цифр або символів, поки не знаходить потрібні. Зазвичай це робиться для підбору чийогось пароля. Пошук займає близько години для номера зі США і близько 8 хвилин для номера з Великої Британії, для інших країн може знадобитися менше хвилини.

Головне, що потрібно хакерам — це ім'я користувача в Google. Спочатку зловмисники передають жертві право власності на документ із продукту Looker Studio від Google. Вони змінюють ім'я документа на безліч символів, унаслідок чого ціль не була повідомлена про зміну власника. Використовуючи якийсь призначений для користувача код, brutecat потім підбирає номер телефону, поки не знайде потрібний, при цьому жертва не отримує жодних попереджень.

Представник Google повідомив 404 Media у своїй заяві, що вразливість уже усунуто. Компанія відреагувала на повідомлення кіберексперта про проблему, надіслане через програму винагород.

За словами brutecat, компанія заплатила йому 5000 доларів. Спочатку Google присвоїла вразливості низький ступінь загрози, але потім підвищила його до середнього.