近日,安全研究人员BruteCat揭示了一项针对谷歌账号安全性的重大发现。他通过利用谷歌一个鲜为人知的账号找回功能,成功破解了部分用户的手机号码。
据悉,自2018年起,谷歌便在其账号登录服务中引入了基于Java的机器人检测机制,旨在防止不法分子通过自动化脚本进行恶意操作。然而,BruteCat在实验中发现,即便关闭了Java,谷歌的账号找回服务仍能正常使用。这一发现引发了他对该服务安全性的深入探索。
在探索过程中,BruteCat发现,通过两个简单的HTTP请求,即可验证用户输入的邮箱地址或手机号码是否与特定的谷歌账号相关联。这一机制虽然便捷,却也为不法分子提供了可乘之机。
为了防范潜在的攻击,谷歌采取了多项安全措施,包括限制单一IP的访问频率和引入CAPTCHA验证码。然而,BruteCat通过采用IPv6动态切换地址,并利用BotGuard的令牌成功绕过了CAPTCHA验证,从而完全规避了谷歌的限制。在此基础上,他开发了一段脚本,利用账号找回服务中显示的手机号码号段提示,进行暴力破解。
据BruteCat的测试结果显示,利用每小时成本仅约0.3美元(约合2.2元人民币)的云服务器,即可实现每秒4万次的暴力破解尝试。其中,破解一个美国电话号码大约需要20分钟,英国号码约4分钟,荷兰号码更是仅需15秒,而新加坡号码的破解速度最快,仅需5秒即可成功获取。
面对这一严重的安全漏洞,BruteCat在今年4月及时向谷歌提交了相关报告。谷歌对此表示高度重视,并在今年6月成功修复了该漏洞。为了表彰BruteCat的贡献,谷歌还向他颁发了5000美元(约合35926元人民币)的漏洞奖励。
此次事件再次提醒我们,网络安全问题不容忽视。即便是像谷歌这样的全球科技巨头,也需要不断优化和完善其安全措施,以应对不断变化的网络安全威胁。同时,广大用户也应提高安全意识,加强账号保护,避免个人信息泄露。
BruteCat的勇敢揭露和谷歌的及时响应也为我们树立了榜样。面对网络安全漏洞,我们应勇于揭露、积极应对,共同维护一个安全、稳定的网络环境。
