網(wǎng)絡(luò)安全領(lǐng)域近日曝出一則重大安全漏洞，由知名安全專家BruteCat發(fā)現(xiàn)并報(bào)告。據(jù)BruteCat透露，通過利用谷歌用戶個(gè)人資料的名稱和部分手機(jī)號碼信息，攻擊者能夠成功破解出與之關(guān)聯(lián)的賬戶恢復(fù)手機(jī)號碼。

這一漏洞的發(fā)現(xiàn)源于BruteCat對一個(gè)已被谷歌棄用的無Java版本用戶名恢復(fù)表單的深入研究。該表單缺乏必要的現(xiàn)代安全防護(hù)措施，使得攻擊者能夠利用用戶的顯示名稱（例如“John Doe”）通過兩個(gè)簡單的POST請求，查詢到與該谷歌賬戶綁定的手機(jī)號碼。

為了繞過表單的速率限制，BruteCat巧妙地運(yùn)用了IPv6地址輪轉(zhuǎn)技術(shù)，生成大量唯一的IP地址，從而輕松地規(guī)避了簡單的速率限制機(jī)制。同時(shí)，他還通過替換參數(shù)和獲取有效的BotGuard令牌，成功地繞過了CAPTCHA驗(yàn)證，進(jìn)一步降低了攻擊的難度。

在此基礎(chǔ)上，BruteCat開發(fā)了一款名為“gpb”的暴力破解工具，該工具能夠以每秒40000次請求的速度，迅速破解出目標(biāo)的手機(jī)號碼。據(jù)他透露，利用這款工具，破解美國號碼僅需約20分鐘，英國號碼則只需4分鐘，而荷蘭號碼的破解時(shí)間更是不到15秒。

然而，這一攻擊并非無懈可擊。攻擊者首先需要獲取目標(biāo)的電子郵箱地址。盡管谷歌在去年已經(jīng)將郵箱設(shè)為隱藏，但BruteCat指出，通過創(chuàng)建Looker Studio文檔并將所有權(quán)轉(zhuǎn)移至目標(biāo)的Gmail地址，攻擊者仍然能夠獲取到目標(biāo)的顯示名稱。

BruteCat還提到，利用谷歌賬戶恢復(fù)流程中顯示的恢復(fù)號碼部分?jǐn)?shù)字（如2位），結(jié)合其他服務(wù)（如PayPal）的密碼重置提示，可以進(jìn)一步縮小手機(jī)號碼的搜索范圍，從而提高破解的成功率。

BruteCat在2025年4月14日通過谷歌的漏洞獎(jiǎng)勵(lì)計(jì)劃（VRP）報(bào)告了這一安全漏洞。盡管谷歌最初評估認(rèn)為風(fēng)險(xiǎn)較低，但在隨后的一個(gè)月內(nèi)，谷歌將風(fēng)險(xiǎn)等級提升為“中等嚴(yán)重”，并向BruteCat支付了5000美元的獎(jiǎng)勵(lì)。

谷歌在6月6日正式確認(rèn)，已經(jīng)完全廢棄了存在漏洞的端點(diǎn)，使得這一攻擊路徑不再可行。然而，關(guān)于這一漏洞是否曾被惡意利用，目前仍不得而知。