Kiberdrošības pētnieks Pēc pētnieka, Google un 404 plašsaziņas līdzekļu testiem spēja noskaidrot tālruņa numuru, kas saistīts ar jebkuru Google kontu, informāciju, kas parasti nav publiska un bieži ir jutīga.
Kopš tā laika jautājums ir novērsts, guess tajā laikā tika iesniegts privātuma jautājums, kurā pat hakeri ar salīdzinoši maziem resursiem varēja brutāli piespiest savu ceļu uz tautu personisko informāciju.
“Es domāju, ka šī ekspluatācija ir diezgan slikta, jo tā būtībā ir zelta raktuve SIM apmaiņai,” neatkarīgais drošības pētnieks, kurš atrada šo problēmu, kurš iet pa rokturi Brutecat, rakstīja e -pastā. Sim apmaiņa ir hakeri, kuri Pārņemiet mērķa tālruņa numuru Lai saņemtu zvanus un tekstus, kas savukārt var ļaut viņiem ielauzties visos veidos.
Aprīļa vidū mēs Brutecat nodrošinājām vienu no mūsu personīgajām Gmail adresēm, lai pārbaudītu ievainojamību. Apmēram pēc sešām stundām Brutecat atbildēja ar pareizo un pilnu tālruņa numuru, kas saistīts ar šo kontu.
“Būtībā tas ir briesmīgi skaitlis,” Brutecat sacīja par viņu procesu. Brute piespiešana ir tad, kad hakeris ātri mēģina dažādas ciparu vai rakstzīmju kombinācijas, līdz atrodiet tos, pēc kuriem viņi pēc tam. Parasti tas ir saistībā ar kāda paroles atrašanu, guess šeit Brutecat dara kaut ko līdzīgu, lai noteiktu Google lietotāja tālruņa numuru.
Brutecat e -pastā sacīja, ka brutālā piespiešana prasa apmēram vienu stundu ASV numuram vai 8 minūtes Lielbritānijas. Viņi teica, ka citām valstīm tas var aizņemt mazāk nekā minūti.
Pievienotajā videoklipā, kas demonstrē ekspluatāciju, Brutecat skaidro, ka uzbrucējam ir nepieciešams mērķa Google displeja nosaukums. Viņi to atrod, vispirms nododot īpašumtiesības uz Google Looker Studio produkta dokumentu uz mērķi, teikts videoklipā. Viņi saka, ka viņi pārveidoja dokumenta vārdu par miljoniem rakstzīmju, kas galu galā netiek paziņots par īpašumtiesību slēdzi. Izmantojot kādu pielāgotu kodu, kuru viņi sīki aprakstīts viņu pierakstīšanāBrutecat pēc tam aizsprosto Google ar minējumiem par tālruņa numuru, līdz saņemat trāpījumu.
“Upuris vispār netiek paziņots :)” Video uzraksts ir lasāms.
Google pārstāvis paziņojumā 404 plašsaziņas līdzekļiem sacīja: “Šī problēma ir novērsta. Mēs vienmēr esam uzsvēruši, cik svarīgi ir sadarboties ar drošības pētījumu kopienu, izmantojot mūsu neaizsargātības atlīdzības programmu, un mēs vēlamies pateikties pētniekam par šīs jautājuma atzīmēšanu. Pētnieks iesniedz šādi.
Tālruņa numuri ir galvenā informācija par SIM nomainītājiem. Šāda veida hakeri ir saistīti ar neskaitāmiem atsevišķu cilvēku hakeriem Zagt tiešsaistes lietotājvārdus vai kriptovalūtaApvidū Wager izsmalcinātie SIM apmaiņas spēlētāji ir arī palielinājušies, lai mērķētu uz masīviem uzņēmumiem. Dažiem ir strādāja tieši ar ransomware bandām no Austrumeiropas.
Bruņots ar tālruņa numuru, SIM apmaiņa pēc tam var uzdoties par upuri un pārliecināt viņu telekomunikāciju pārkārtot īsziņas uz SIM karti, kuru kontrolē hakeris. Turpmāk hakeris var pieprasīt paroles atiestatīšanas īsziņas vai vairāku faktoru autentifikācijas kodus un pieteikties upura vērtīgajos kontos. Tas varētu ietvert kontus, kas glabā kriptovalūtu vai vēl vairāk kaitīgu, to e -pastu, kas savukārt varētu dot piekļuvi daudziem citiem kontiem.
FBI savā vietnē iesaka cilvēkiem šī iemesla dēļ publiski reklamēt savu tālruņa numuru. “Aizsargājiet savu personīgo un finanšu informāciju. Sociālo mediju vietnēs nav reklamējiet savu tālruņa numuru, adresi vai finanšu aktīvus, ieskaitot kriptovalūtas īpašumtiesības vai ieguldījumus,” Vietne lasaApvidū
Rakstot, Brutecat sacīja, ka Google viņiem piešķīra 5000 USD un dažus swag par atradumiem. Sākotnēji Google iezīmēja neaizsargātību kā zemu ekspluatācijas iespēju. Saskaņā ar Brutecat rakstīšanu uzņēmums vēlāk šo varbūtību paaugstināja līdz vidējam līmenim.
