详细内容或原文请订阅后点击阅览
Google错误允许发现任何用户的电话号码
Google已修复了其帐户恢复流程中的漏洞,该漏洞可以允许攻击者找到链接的电话号码。
来源:Malwarebytes Labs 博客Google具有固定的漏洞,使得可以检索几乎所有Google用户的电话号码。在流中发现了缺陷,该漏洞允许用户使用电话号码恢复其Google帐户。
一名名为BruteCat的网络安全研究人员能够找出与任何Google帐户相关的电话号码,这些信息通常不公开并且被认为是敏感的。
网络安全研究人员称为brutecatBruteCat发现,如果用户忘记了他们的登录详细信息,则可以恢复其Google帐户的页面。 Botguard是一种基于云的网络安全解决方案,旨在保护网站和Web应用程序免受恶意机器人,自动攻击,爬行者和刮刀的影响。
但是,Botguard不适用于不使用JavaScript的网站。这是因为其许多高级检测技术都依赖于在访问者的浏览器中执行JavaScript来收集客户端数据。如果网站不适用于JavaScript,或者用户或机器人禁用JavaScript,则Botguard无法收集必要的信息以进行指纹或行为分析。 BruteCat还必须使用旋转的IP地址和一个技巧来绕过偶尔的验证码,但能够每秒管理40K请求。以此速度,如果攻击者知道电话号码的国家代码,则在美国大约需要20分钟才能找到恢复电话号码。在英国,由于电话号码较短,因此下降到4分钟。 对于那些进行数学的人并发现这是不可能的,重要的是要知道Google将电话号码的最后两个数字显示为提示,而BruteCat使用Google自己的库“ LibphoneNumber”来生成有效的数字格式。 Google发言人金伯利·萨姆拉(Kimberly Samra)告诉TechCrunch: TechCrunch Google还表示,它不知道有关这些漏洞的漏洞的确认报告。 我们不仅报告威胁 - 我们可以帮助您保护您的整个数字身份
但是,Botguard不适用于不使用JavaScript的网站。这是因为其许多高级检测技术都依赖于在访问者的浏览器中执行JavaScript来收集客户端数据。如果网站不适用于JavaScript,或者用户或机器人禁用JavaScript,则Botguard无法收集必要的信息以进行指纹或行为分析。
BruteCat还必须使用旋转的IP地址和一个技巧来绕过偶尔的验证码,但能够每秒管理40K请求。以此速度,如果攻击者知道电话号码的国家代码,则在美国大约需要20分钟才能找到恢复电话号码。在英国,由于电话号码较短,因此下降到4分钟。
对于那些进行数学的人并发现这是不可能的,重要的是要知道Google将电话号码的最后两个数字显示为提示,而BruteCat使用Google自己的库“ LibphoneNumber”来生成有效的数字格式。
Google发言人金伯利·萨姆拉(Kimberly Samra)告诉TechCrunch:TechCrunch
Google还表示,它不知道有关这些漏洞的漏洞的确认报告。我们不仅报告威胁 - 我们可以帮助您保护您的整个数字身份