O Google corrigiu recentemente uma série de vulnerabilidades críticas que poderiam ter sido exploradas para obter o número de telefone de qualquer usuário da plataforma. A falha foi revelada por um pesquisador de segurança de Singapura, conhecido pelos pseudônimos Brutecat e Skull, que publicou os detalhes técnicos da descoberta nesta segunda-feira (09/06).
Segundo o pesquisador, as falhas foram identificadas ao testar funcionalidades do Google com o JavaScript desativado. Ao investigar quais serviços ainda funcionavam sem esse recurso, ele descobriu que os formulários de recuperação de conta permaneciam ativos — e mais do que isso: permitiam verificar, com apenas dois pedidos HTTP, se um determinado nome de exibição estava associado a um e-mail ou número de telefone de recuperação.
Como o ataque funcionava
A partir dessa brecha inicial, Brutecat percebeu que era possível extrair o número de telefone completo associado a um nome de exibição por meio de ataques de força bruta. Para driblar os sistemas de proteção do Google — como limites de requisições (rate limiting) — ele utilizou endereços IPv6 diferentes a cada tentativa, além de um token do BotGuard, um sistema de validação automatizado da própria empresa.
Mas, para que o ataque fosse viável, o invasor precisaria também descobrir o nome de exibição vinculado a um endereço de e-mail do Gmail. E foi aí que entrou outro serviço da gigante: o Looker Studio, ferramenta do Google para criação de dashboards e relatórios.
Ao criar um documento no Looker Studio e transferir sua propriedade para o e-mail da vítima, o nome de exibição do usuário era revelado automaticamente. Com essa informação, o invasor conseguia chegar à página de recuperação de senha, onde o sistema exibia os dois últimos dígitos do número de telefone vinculado à conta. A partir daí, bastava realizar um ataque de força bruta para completar o número.
Riscos e custo do ataque
Números de telefone são considerados dados extremamente sensíveis, muitas vezes usados como vetor de ataques de engenharia social, sequestro de contas e fraudes. Nos testes realizados por Brutecat, um número dos Estados Unidos poderia ser obtido em cerca de 20 minutos; do Reino Unido, em apenas 4 minutos. Já números da Holanda e de Singapura poderiam ser descobertos em questão de segundos.
Todo o processo foi viável utilizando servidores alugados ao custo de apenas US$ 0,30 por hora.
Resposta do Google
O Google foi informado das vulnerabilidades em meados de abril e implementou as correções entre maio e o início de junho. Em reconhecimento à descoberta, o pesquisador recebeu uma recompensa de US$ 5.000 através do programa de bug bounty da empresa.
Essa não foi a primeira contribuição de Brutecat à segurança da big tech. Em março deste ano, ele também revelou uma falha no YouTube que expunha os endereços de e-mail de criadores de conteúdo. Na ocasião, recebeu US$ 20.000 pela denúncia.
Para saber mais, clique aqui.
