MADRI 10 jun. (Portaltic/EP) -
O Google corrigiu uma vulnerabilidade na função de recuperação de conta da empresa que permitia que os números de telefone dos usuários fossem divulgados sem alertar o proprietário, tornando mais fácil para agentes mal-intencionados obterem informações pessoais e, assim, realizarem ataques cibernéticos direcionados ou roubo de identidade.
A falha, encontrada por um pesquisador de segurança independente chamado Brutecat, foi compartilhada com o Google em abril deste ano e afeta especificamente o recurso de recuperação de conta da empresa, uma opção projetada para restaurar o acesso a uma conta do Google em caso de esquecimento de senha ou problema de login.
Esse é um sistema comumente usado que permite configurar um endereço de e-mail ou número de telefone alternativo para ser usado como método de redefinição da senha da conta.
Esses dados são armazenados de forma privada para que possam ser usados apenas pelos usuários. No entanto, a vulnerabilidade encontrada permite que o número de telefone para recuperação de conta seja obtido sem alertar o titular da conta, por meio de um conjunto de processos que incluem o vazamento do nome completo do proprietário da conta e a evasão do mecanismo de proteção de bots do Google usado para evitar solicitações mal-intencionadas de redefinição de senha por "spam".
Como a Brutecat explica em seu blog, o processo de investigação começou quando descobriu que o formulário de recuperação de nome de usuário do Google continuou a funcionar mesmo sem a linguagem de codificação JavaScript ativa no dispositivo, o que é necessário desde 2018, pois é usado nas soluções de proteção de bots do Google, que são integradas aos formulários de recuperação de conta para evitar abusos.
Com isso, esse formulário de recuperação permitiu verificar se um e-mail ou número de telefone estava associado a um nome de usuário específico, usando endereços IPv6 - um identificador numérico associado a uma interface de rede - e manipulando o token de autenticação da solução de proteção contra bots BotGuard a partir do formulário JavaScript.
Além disso, ele também conseguiu filtrar o nome de usuário específico por meio do serviço de relatórios do Google, o Looker Studio. Isso foi feito por meio da criação de um documento nessa plataforma e da transferência de sua propriedade para a vítima, o que faz com que o nome apareça na página inicial automaticamente, sem que o usuário afetado precise intervir.
Em suma, o pesquisador concluiu que, ao automatizar todos esses processos em uma cadeia de ataque, é possível forçar a recuperação do número de telefone do proprietário de uma conta do Google em cerca de 20 minutos ou até menos, dependendo do tamanho do número de telefone a ser descoberto.
Por exemplo, no caso de um número do Reino Unido, o pesquisador relatou que conseguiu obter números de telefone em quatro minutos e, no caso de Cingapura, o tempo foi reduzido para cinco segundos. Especificamente, essa vulnerabilidade permitiria que agentes mal-intencionados obtivessem dados pessoais dos usuários, como nome e número de telefone, o que poderia levar ao roubo de identidade ou a outros ataques direcionados.
O Google disse agora que corrigiu esse bug em sua forma, o que significa que não é mais possível extrair telefones celulares da função de recuperação de conta. A porta-voz do Google, Kiberly Samra, disse ao TechCrunch, enfatizando a importância de colaborar com a comunidade de pesquisa de segurança por meio de seu programa de recompensas por vulnerabilidades.
"Relatórios como esse de pesquisadores são uma das muitas maneiras pelas quais podemos encontrar e corrigir rapidamente problemas de segurança para nossos usuários", disse Samra, afirmando que o Google não identificou "nenhum link direto confirmado para explorações no momento".
Esta notícia foi traduzida por um tradutor automático