سمحت الثغرة الأمنية للباحثين بالغضب رقم هاتف استرداد أي حساب في Google ببساطة عن طريق معرفة اسم ملف تعريفهم ورقم هاتف جزئي بسهولة ، مما يخلق خطرًا هائلاً لهجمات التصيد والتبديل SIM.
تتضمن طريقة الهجوم إساءة استخدام نسخة معوّبة JavaScript التي تم نقلها الآن من نموذج استرداد اسم مستخدم Google ، والذي يفتقر إلى الحماية الحديثة لمكافحة الإساءة.
تم اكتشاف الخلل بواسطة”https://brutecat.com/articles/leaking-google-phones” الهدف=”_blank” rel=”nofollow noopener”> الباحث الأمني BRUTECAT، نفس الشخص الذي أظهر في فبراير أنه من الممكن فضح القطاع الخاص”https://www.bleepingcomputer.com/news/security/google-fixes-flaw-that-could-unmask-youtube-users-email-addresses/” الهدف=”_blank” rel=”nofollow noopener”> عناوين البريد الإلكتروني لحسابات YouTube.
أخبر Bretecat BleepingComputer أنه على الرغم من استرداد الهجوم رقم الهاتف الذين تم تكوين مستخدميها لاسترداد حساب Google ، فإن هذا هو نفس رقم الهاتف الرئيسي لحامل الحساب في الغالبية العظمى من الحالات.
أرقام Google الغاشمة
اكتشف Brotecat أنه يمكنه الوصول إلى نموذج استرداد اسم مستخدم JavaScript Legacy ، والذي بدا أنه يعمل كما هو متوقع.
سمح النموذج بالاستعلام إذا كان رقم الهاتف مرتبطًا بحساب Google استنادًا إلى اسم عرض ملف تعريف المستخدم (“John Smith”) عبر اثنين من طلبات البريد.
تجاوز الباحث الدفاعات الدهنية التي تحد من المعدل في النموذج باستخدام دوران عنوان IPv6 لتوليد تريليونات من IPS المصدر الفريدة عبر /64 شبكات فرعية لهذه الطلبات.
تم تجاوز CaptChas المعروضة من خلال العديد من الطلبات عن طريق استبدال معلمة “Bgresponse=JS_Disabled” مع رمز Botguard صالح من النموذج الذي يدعم JS.
المصدر: بروتيكات
مع مجموعة التقنيات ، طورت Bretecat أداة تنصية الغاشمة (GPB) تتكرر من خلال نطاقات الأرقام باستخدام تنسيقات ومرشحات خاصة بالبلد.
استخدم الباحث “libphonenber” من Google لإنشاء تنسيقات أرقام صالحة ، وقام ببناء قاعدة بيانات قناع ريفي لتحديد تنسيقات الهاتف حسب المنطقة ، وكتب نصًا لإنشاء رموز Botguard عبر كروم مقطوعة الرأس.
بناءً على نسبة صعبة البخاخة 40،000 طلب في الثانية ، ستستغرق الأرقام الأمريكية حوالي 20 دقيقة ، ومملكة المتحدة 4 دقائق ، وهولندا أقل من 15 ثانية.
المصدر: بروتيكات
لبدء هجوم ضد شخص ما ، يلزم عنوان بريده الإلكتروني للنموذج ، لكن Google قد حددت هذا على مخبأ منذ العام الماضي.
وجد Bretecat أنه يمكنه استرداده من خلال إنشاء مستند Suker Studio ونقل الملكية إلى عنوان Gmail الخاص بـ Target.
بمجرد نقل الملكية ، يظهر اسم عرض Google الخاص بـ Google على لوحة معلومات مستندات لوكير لوكير ، مما يتطلب تفاعلًا صفريًا مع الهدف.
مسلحين بعنوان البريد الإلكتروني هذا ، يمكنهم إجراء استفسارات متكررة لتحديد جميع أرقام الهواتف المرتبطة باسم ملف التعريف.
ومع ذلك ، حيث يمكن أن يكون هناك الآلاف من الحسابات بنفس اسم الملف الشخصي ، ضاقها الباحث باستخدام الرقم الجزئي للهدف.
للحصول على رقم هاتف جزئي للمستخدم ، استخدم الباحث Google’s “account recovery” سير العمل ، الذي سيعرض رقمين من رقم هاتف الاسترداد المكون.
“This time can also be significantly reduced through phone number hints from password reset flows in other services such as PayPal, which provide several more digits (ex. +14•••••1779)”يشرح بروتيكات.
يمكن أن يتسبب تسريب أرقام الهواتف المرتبطة بحساب Google في حدوث مخاطر أمان هائلة للمستخدمين ، الذين يمكن بعد ذلك استهدافهم في هجمات الصياغة المستهدفة أو هجمات مبادلة SIM.
يمكن رؤية مظاهرة لاستغلال هذا العيب في الفيديو أدناه.
علة ثابتة
أبلغ Bretecat عن نتائجه إلى Google عبر برنامج مكافأة الثغرة الأمنية للتكنولوجيا (VRP) في 14 أبريل 2025.
نظرت Google في البداية في مخاطر الاستغلال المنخفضة ، ولكن في 22 مايو 2025 ، قامت بترقية المشكلة إلى “medium severity,” تطبيق التخفيفات المؤقتة ودفع الباحث مكافأة قدرها 5000 دولار للكشف.
في 6 يونيو 2025 ، أكدت Google أنها قد أدت بشكل كامل إلى إهمال نقطة نهاية الاسترداد الضعيفة NO-JS.
لم يعد متجه الهجوم غير قابل للاستغلال ، ولكن ما إذا كان قد تم استغلاله بشكل ضار لا يزال غير معروف.
لماذا تتخلى فرق تكنولوجيا المعلومات عن إدارة التصحيح اليدوي
تستخدم الترقيع ليعني البرامج النصية المعقدة ، والساعات الطويلة ، وتدريبات النار التي لا نهاية لها. ليس بعد الآن.
في هذا الدليل الجديد ، تحطم Tines كيف تقوم Orgs الحديثة بتسوية الأتمتة. تصحيح أسرع ، تقليل النفقات العامة ، والتركيز على العمل الاستراتيجي – لا توجد نصوص معقدة مطلوبة.