根據(jù)BruteCat安全研究人員本周披露的報告，谷歌賬戶恢復系統(tǒng)中存在一個高危漏洞，攻擊者可通過精心設(shè)計的暴力破解攻擊獲取任意谷歌用戶的手機號碼。該漏洞現(xiàn)已被修復，其利用谷歌的無JavaScript（No-JS）用戶名恢復表單繞過安全防護機制，竊取敏感個人信息。

漏洞原理分析

該漏洞存在于谷歌遺留的無JavaScript用戶名恢復系統(tǒng)中。研究人員發(fā)現(xiàn)，這個被遺忘的接口可被操縱來驗證特定手機號是否與特定顯示名稱相關(guān)聯(lián)，從而為系統(tǒng)化的手機號枚舉創(chuàng)造了條件。

攻擊實施步驟

攻擊方法包含三個關(guān)鍵環(huán)節(jié)：

• 通過Looker Studio轉(zhuǎn)移文檔所有權(quán)獲取目標谷歌賬戶顯示名稱（無需受害者任何交互）
• 發(fā)起谷歌密碼找回流程獲取部分掩碼處理的手機號提示（僅顯示末尾幾位數(shù)字）
• 使用名為"gpb"的自定義工具，根據(jù)已知顯示名對完整手機號進行暴力破解

繞過防護機制的技術(shù)手段

研究人員通過兩項關(guān)鍵技術(shù)突破谷歌的速率限制防護：

• 利用IPv6地址范圍提供超過18萬億個唯一IP地址，實現(xiàn)每次請求切換不同IP，有效規(guī)避谷歌反濫用機制
• 發(fā)現(xiàn)JavaScript表單的botguard令牌可復用于無JS版本，從而規(guī)避驗證碼挑戰(zhàn)

攻擊效率與影響范圍

該攻擊效率驚人，研究人員使用每小時0.3美元的低配服務(wù)器即可實現(xiàn)每秒約4萬次驗證嘗試。根據(jù)國家代碼不同，完整手機號獲取時間從新加坡等小國的數(shù)秒到美國約20分鐘不等。

漏洞修復與響應

谷歌于2025年4月14日收到漏洞報告后迅速響應：

• 立即實施臨時緩解措施
• 2025年6月6日完全棄用存在漏洞的無JS用戶名恢復表單
• 初始獎勵337美元，經(jīng)研究人員申訴后提升至5000美元（基于該攻擊無前置條件且難以檢測的特性）

此事件凸顯了遺留系統(tǒng)帶來的持續(xù)安全挑戰(zhàn)，以及對所有服務(wù)端點（包括看似過時或極少使用的接口）進行全面安全審計的重要性。