Kako hakeri mogu doći do vašeg broja telefona preko vašeg Google naloga

Vesti, 10.06.2025, 11:30 AM

Istraživač bezbednosti poznat pod nadimkom BruteCat, otkrio je ranjivost koja omogućava da se metodom „brute-force“ dođe do broja telefona povezanog sa bilo kojim Google nalogom. Dovoljno je znati ime profila i deo broja telefona. Ova ranjivost predstavlja ozbiljan rizik za korisnike, otvarajući vrata za phishing napade i SIM-swapping prevare.

Ranjivost je pronađena u staroj verziji Google-ovog formulara za oporavak korisničkog imena bez JavaScripta, koji nema modernu zaštitu od zloupotreba.

BruteCat, koji je ranije pokazao kako je moguće otkriti privatne email adrese korisnika YouTube naloga, pokazao je kako bi izgledao i ovaj napad. On je rekao da napad vraća broj telefona koji su korisnici konfigurisali za oporavak Google naloga, i da je to je u velikoj većini slučajeva isti broj kao i primarni broj telefona vlasnika naloga.

BruteCat je uspeo da zaobiđe osnovne mehanizme ograničavanja broja upita da li je broj telefona povezan sa Google nalogom, korišćenjem rotacije IPv6 adresa. Tako je kreirao trilione jedinstvenih IP adresa i omogućio veliku brzinu automatizovanih pokušaja.

On je razvio alat nazvan gpb koji generiše validne formate brojeva po državama i testira ih kroz pomenutu formu. Na ovaj način, uz brzinu od 40.000 zahteva u sekundi, mogao je za američke brojeve dobiti rezultate za 20 minuta, britanske brojeve za 4 minuta i brojeve iz Holandije za manje od 15 sekundi.

Da bi pokrenuo napad na konkretan nalog, bilo je potrebno znati email adresu korisnika za obrazac. Google je u međuvremenu sakrio ove podatke, ali je BruteCat pronašao način da je pronađe kreiranjem Looker Studio dokumenta i prenosom vlasništva na ciljani Gmail nalog. Ime korisnika bi se potom pojavilo na njegovom Looker Studio nalogu, bez ikakve interakcije od strane cilja. Sa email adresom, napadači bi mogli da ponavljaju upite kako bi otkrili sve brojeve telefona povezane sa imenom profila. Međutim, pošto može postojati hiljade naloga sa istim imenom profila, BruteCat je suzio izbor koristeći deo broja telefona mete.

Da bi došao to toga, BruteCat je koristio Google Account Recovery proceduru, koja prilikom pokušaja resetovanja lozinke prikazuje dve cifre broja telefona. Kombinovanjem ovih informacija sa dodatnim tragovima (npr. PayPal često prikazuje više cifara prilikom resetovanja lozinke), značajno je ubrzavao proces.

Kada je broj telefona povezan sa Google nalogom kompromitovan, korisnici postaju znatno ranjiviji na vishing napade (telefonske prevare) i SIM-swapping napade (krađa telefonskog broja i preusmeravanje komunikacije ka napadaču).

BruteCat je prijavio propust Google-u 14. aprila 2025. preko programa za nagrađivanje otkrivenih ranjivosti (Vulnerability Reward Program). U početku je Google procenio da je rizik od ovakvih napada nizak, ali je nakon detaljnijeg pregleda 22. maja podigao ocenu na srednji nivo, uveo privremene mere zaštite i isplatio istraživaču nagradu od 5.000 dolara.

Sada je Google potvrdio da je potpuno deaktivirao ranjivu verziju formulara. Nije poznato da li je ovaj propust ikada bio korišćen u stvarnim napadima.

Korisnicima se savetuje oprez prilikom deljenja informacija, redovna provera bezbednosnih postavki naloga, kao i korišćenje dodatnih slojeva zaštite poput dvofaktorske autentifikacije.

Foto: Lauren Edvalson | Unsplash