گوگل آسیبپذیری امنیتی را برطرف کرد که امکان حمله brute-force به شماره تلفن بازیابی حسابهای کاربری را فراهم میکرد. این نقص که توسط محقق امنیتی “brutecat” کشف شد، از طریق سوءاستفاده از نسخه منسوخشده فرم بازیابی نام کاربری گوگل که فاقد محافظتهای ضد سوءاستفاده بود، قابل بهرهبرداری بود. مهاجم میتوانست با دور زدن محدودیتهای نرخ مبتنی بر CAPTCHA، تمام ترکیبات ممکن شماره تلفن را در مدت زمان کوتاهی آزمایش کند.
فرآیند حمله شامل افشای نام نمایشی حساب از طریق Looker Studio، دریافت شماره تلفن پوشیدهشده از طریق جریان فراموشی رمز عبور، و سپس brute-force کردن شماره کامل بود. با دسترسی به شماره تلفن، مهاجم میتوانست از طریق حمله SIM-swapping کنترل حساب را به دست آورد. گوگل پس از گزارش مسئولانه در ۱۴ آوریل ۲۰۲۵، جایزه ۵۰۰۰ دلاری به محقق اعطا کرد و آسیبپذیری را با حذف کامل فرم بازیابی غیر جاوااسکریپتی در ۶ ژوئن ۲۰۲۵ برطرف نمود.
کلمات کلیدی : گوگل آسیبپذیری امنیتی, حمله brute-force, بازیابی حساب کاربری, محافظتهای ضد سوءاستفاده, SIM-swapping, فرم بازیابی نام کاربری
نظر شما چیست؟
خوشحال میشویم نظر شما را بدانیم. نظری بنویسید.