Google behebt Fehler, der die privaten Telefonnummern der Benutzer offenlegen könnte

Ein Sicherheitsforscher hat einen Fehler entdeckt, der ausgenutzt werden könnte, um die private Wiederherstellungstelefonnummer fast jedes Google-Kontos offenzulegen, ohne den Besitzer zu benachrichtigen, wodurch Benutzer möglicherweise Datenschutz- und Sicherheitsrisiken ausgesetzt werden.

Google bestätigte gegenüber TechCrunch, dass der Fehler behoben sei, nachdem der Forscher das Unternehmen im April darauf aufmerksam gemacht hatte.

Der unabhängige Forscher, der unter dem Namen brutecat auftritt und seine Ergebnisse in einem Blog veröffentlichte , erklärte gegenüber TechCrunch, dass er die Wiederherstellungstelefonnummer eines Google-Kontos erhalten könne, indem er einen Fehler in der Kontowiederherstellungsfunktion des Unternehmens ausnutze.

Der Exploit basierte auf einer „Angriffskette“ mehrerer zusammenwirkender Einzelprozesse. Dazu gehörte die Weitergabe des vollständigen Anzeigenamens eines Zielkontos und die Umgehung eines Anti-Bot-Schutzmechanismus, den Google implementiert hatte, um böswilliges Spamming von Passwort-Reset-Anfragen zu verhindern. Durch die Umgehung des Ratenlimits konnte der Forscher schließlich jede mögliche Permutation der Telefonnummer eines Google-Kontos in kurzer Zeit durchgehen und die korrekten Ziffern ermitteln.

Durch die Automatisierung der Angriffskette mit einem Skript sei es laut dem Forscher möglich, die Wiederherstellungstelefonnummer eines Google-Kontoinhabers in 20 Minuten oder weniger (je nach Länge der Telefonnummer) mit Brute-Force zu erbeuten.

Um dies zu testen, richtete TechCrunch ein neues Google-Konto mit einer noch nie zuvor verwendeten Telefonnummer ein und teilte brutecat dann die E-Mail-Adresse unseres neuen Google-Kontos mit.

Kurze Zeit später antwortete Brutecat mit der von uns festgelegten Telefonnummer.

„Bingo :)“, sagte der Forscher.

Die Offenlegung der privaten Wiederherstellungstelefonnummer kann selbst anonyme Google-Konten gezielten Angriffen, wie beispielsweise Übernahmeversuchen, aussetzen. Die Identifizierung einer privaten Telefonnummer, die mit dem Google-Konto einer Person verknüpft ist, könnte es erfahrenen Hackern erleichtern, die Kontrolle über diese Telefonnummer zu erlangen, beispielsweise durch einen SIM-Swap-Angriff . Mit der Kontrolle über diese Telefonnummer kann der Angreifer das Passwort aller damit verknüpften Konten zurücksetzen, indem er Passwort-Reset-Codes generiert, die an das Telefon gesendet werden.

Angesichts des potenziellen Risikos für die breite Öffentlichkeit stimmte TechCrunch zu, diese Story zurückzuhalten, bis der Fehler behoben werden konnte.

„Dieses Problem wurde behoben. Wir haben stets betont, wie wichtig die Zusammenarbeit mit der Sicherheitsforschungs-Community im Rahmen unseres Schwachstellen-Prämienprogramms ist, und möchten dem Forscher für die Meldung dieses Problems danken“, sagte Google-Sprecherin Kimberly Samra gegenüber TechCrunch. „Solche Beiträge von Forschern sind eine der vielen Möglichkeiten, Probleme schnell zu finden und zu beheben, um die Sicherheit unserer Nutzer zu gewährleisten.“

Samra sagte, dass dem Unternehmen „derzeit keine bestätigten, direkten Verbindungen zu Exploits“ bekannt seien.

Laut Brutecat hat Google für die Entdeckung des Bugs eine Belohnung von 5.000 US-Dollar gezahlt.