IT之家 6 月 10 日消息，網(wǎng)絡(luò)安全專家 BruteCat 報告新的安全漏洞，僅通過用戶的谷歌個人資料名稱和部分手機號碼，就能暴力破解出賬戶的恢復(fù)手機號碼。

BruteCat 發(fā)現(xiàn)了一個已被廢棄的無 JavaScript 版本的谷歌用戶名恢復(fù)表單，該表單缺乏現(xiàn)代防護機制。通過用戶的個人資料顯示名稱（如“John Smith”），攻擊者可通過兩個 POST 請求查詢與谷歌賬戶關(guān)聯(lián)的手機號碼。

BruteCat 利用 IPv6 地址輪轉(zhuǎn)技術(shù)，生成大量唯一 IP 地址，輕松繞過表單的簡單速率限制。同時，他通過替換參數(shù)和獲取有效 BotGuard 令牌，成功繞過 CAPTCHA 驗證。

最終，他開發(fā)出一款暴力破解工具“gpb”，能以每秒 40000 次請求的速度，快速破解手機號碼。例如，破解美國號碼僅需 20 分鐘，英國 4 分鐘，荷蘭不到 15 秒，新加坡不到 5 秒。

攻擊需先獲取目標(biāo)的電子郵箱地址。盡管 Google 去年已將郵箱設(shè)為隱藏，BruteCat 表示無需與目標(biāo)互動，通過創(chuàng)建 Looker Studio 文檔并轉(zhuǎn)移所有權(quán)至目標(biāo) Gmail 地址，就能獲取目標(biāo)的顯示名稱。

此外，利用 Google 賬戶恢復(fù)流程可顯示恢復(fù)號碼的部分?jǐn)?shù)字（如 2 位），結(jié)合其他服務(wù)（如 PayPal）的密碼重置提示，可進一步縮小范圍。IT之家附上演示視頻如下：

BruteCat 于 2025 年 4 月 14 日通過 Google 漏洞獎勵計劃（VRP）報告此問題。Google 最初評估風(fēng)險較低，但于 5 月 22 日將其升級為“中等嚴(yán)重”，并支付研究員 5000 美元獎勵。

谷歌于 6 月 6 日確認(rèn)已完全廢棄該漏洞端點，攻擊路徑不再可行，但是否曾被惡意利用尚不得而知。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。