安全人员发现谷歌账号绑定手机号码可被暴力破解, 获5000美元奖励

IT之家6月10日消息，安全人员BruteCat昨日发文披露，他通过利用谷歌一项“被遗忘的”账号找回服务功能，成功暴力破解了部分用户的谷歌账号手机号码。

据悉，谷歌早在2018年起就在其账号登录服务中实施了基于JavaScript的机器人检测机制，以阻止不法分子使用自动化脚本进行各类恶意操作。

但BruteCat表示，今年年初他在浏览器中关闭JavaScript，想测试哪些谷歌服务在不启用JavaScript的情况下仍可使用，结果发现平台的账号找回服务仍然可以正常运行，相应服务允许通过两个HTTP请求，验证用户输入的邮箱地址或手机号码是否与特定谷歌账号间存在关联。

尽管谷歌试图通过限制单一IP的访问频率、引入CAPTCHA验证码来防范不法分子攻击相应服务，但BruteCat采用IPv6动态切换地址，同时利用BotGuard的令牌绕过了CAPTCHA，从而完全避开谷歌限制。后续其开发了一段脚本，大致是借助相应密码找回服务流程中所显示的用户账号绑定的手机号码号段提示进行暴力破解。

据BruteCat测试，只需使用“每小时成本约0.3美元（IT之家注：现汇率约合2.2元人民币）”的云服务器，即可实现“每秒4万次暴力破解”，其中破解一个美国电话号码大约只需20分钟，英国号码约4分钟，荷兰号码仅需15秒，而新加坡号码最快仅需5秒即可获取。

BruteCat表示，他已于今年4月向谷歌方面提交了相关漏洞报告，并获得5000美元（现汇率约合35926元人民币）的漏洞奖励。而谷歌已于今年6月修复了相应漏洞。