Prisijunkite
„Google“ jau seniai nėra tik kompanija, kuri valdo milžinišką paieškos sistemą. Šiandien tai viena įtakingiausių technologijų bendrovių pasaulyje, valdanti milžinišką ekosistemą, kuri apima beveik kiekvieną mūsų skaitmeninės kasdienybės aspektą.
JAV bendrovė ir toliau siekia įtvirtinti pozicijas ne tik kaip inovacijų lyderė, bet ir kaip patikima platforma, prisitaikanti prie augančių skaitmeninio saugumo ir etikos lūkesčių. Kaip bebūtų, „Google“ dažnai susiduria ir su įvairiais saugumo iššūkiais.
Nepriklausomas saugumo tyrėjas aptiko klaidą, leidžiančią be naudotojo žinios išsiaiškinti beveik bet kurio „Google“ paskyros atkūrimo telefono numerį. Tai sukėlė rimtą privatumo ir saugumo pavojų, nes atskleistas numeris galėjo būti panaudotas tikslingoms atakoms prieš naudotoją.
„Google“ patvirtino leidiniui „TechCrunch“, kad klaida jau ištaisyta, o tai įvyko po to, kai tyrėjas, prisistatantis pseudonimu „brutecat“, apie ją pranešė balandį.
Spragos esmė slypėjo paskyros atkūrimo funkcijoje. Tyrėjas atrado, kaip pasinaudojus tam tikra veiksmų sekagalima pasiekti saugomą telefono numerį. Pirmiausia, išsiaiškinamas pilnas paskyros rodomas vardas, tada apeinama „Google“ įdiegta botų apsauga, ribojanti slaptažodžio atkūrimo užklausų siuntimą.
Skelbiama, kad įveikus ribojimų sistemą, „brutecat“ galėjo išbandyti visas galimas telefono numerio kombinacijas, o tai buvo atlikta automatizuotai su specialiu skriptu. Priklausomai nuo numerio ilgio, viso proceso trukmė siekė iki 20 minučių.
Kad įsitikintų metodo veiksmingumu, „TechCrunch“ sukūrė naują „Google“ paskyrą ir priskyrė jai niekur anksčiau nenaudotą telefono numerį. Tuomet adresą perdavė „brutecat“, kuris netrukus atsiuntė teisingą numerį. Vienas žodis žinutėje – „bingo :)“ – parodė, kad testas pavyko.
Privataus atkūrimo numerio atskleidimas leidžia identifikuoti net anonimiškas paskyras. Jei piktavaliai žino, prie kurios paskyros prijungtas konkretus numeris, jiems pakanka atlikti SIM keitimo ataką (angl. SIM swap) ir jie galės gauti paskyros slaptažodžio keitimo kodus.
Dėl akivaizdžios rizikos plačiajai visuomenei, „TechCrunch“ susilaikė nuo istorijos publikavimo, kol „Google“ pataisė klaidą.
„Ši problema jau išspręsta. Nuolat bendradarbiaujame su saugumo tyrėjais per mūsų pažeidžiamumų atlygį siūlančią programą. Esame dėkingi už pranešimą, tokie atvejai leidžia greitai aptikti ir pašalinti rizikas, kurios gali kelti pavojų naudotojams“, – komentavo „Google“ atstovė Kimberly Samra.
Anot jos, kol kas nėra žinoma apie jokią ataką, kuri būtų pasinaudojusi šia konkrečia spraga. Pranešama, kad „brutecat“ už šį atradimą gavo 5 tūkst. JAV dolerių atlygį pagal „Google“ saugumo pažeidžiamumų programą.
0 komentarų
Komentuoti ir diskutuoti gali tik registruoti portalo lankytojai. Kviečiame prisijungti prie mūsų bendruomenės ir prisijungti prie diskusijų!
Prašome prisijungti