• Un investigador de seguretat va descobrir la vulnerabilitat als sistemes de Google i es va posar en contacte amb l’empresa. Google va solucionar el problema fa només uns dies, per la qual cosa la vulnerabilitat ja no es pot explotar.

Acabem de conèixer l’existència d’una vulnerabilitat als comptes de Google que permetia que qualsevol amb els coneixements necessaris pogués esbrinar el número de telèfon associat a un compte en qüestió de minuts, cosa que ens permet fer-nos una idea dels riscos per als usuaris. L’únic necessari era el nom del perfil i un fragment del número associat al compte, com els dos últims dígits que Google ens mostra en tractar de recuperar la nostra contrasenya.

La fallada en qüestió va ser descoberta per un investigador conegut com a BruteCat, que es va posar en contacte amb Google per informar de la vulnerabilitat. L’empresa ha confirmat que el problema ja està solucionat i encara no hi ha constància que la fallada hagi estat explotada, des del medi especialitzat Bleeping Computer expliquen que la filtració de números de telèfon pot fer als usuaris més propensos a atacs de vishing o pesca per veu i el de SIM swapping.

Google ha recompensat amb 5.000 dòlars la persona que va descobrir la vulnerabilitat

L’investigador que va descobrir la fallada en els sistemes de Google ha compartit els detalls de la vulnerabilitat en un article publicat a la seva pàgina web, on explica que la va descobrir en desactivar Javascript al navegador amb l’objectiu de comprovar si hi havia algun servei de Google que encara funcionés sense necessitat de fer servir aquesta tecnologia. Per sorpresa seva, el formulari de recuperació del compte de Google funcionava sense problemes.

Per aconseguir el nom de la persona el número de la qual volia esbrinar, BruteCat va descobrir que podia fer ús de l’eina de visualitzacions d’informació empresarial ‘Looker Studio’, propietat de Google. En crear un document i transferir-lo a la víctima, el nom d’aquesta darrera apareixia a la pantalla fins i tot encara que la persona no hagués acceptat la transferència. Un cop amb el nom en poder seu, només calia accedir al formulari de recuperació d’un compte de Google per aconseguir dos dígits del telèfon associat al compte.

Fent ús d’una tècnica de força bruta, l’investigador va trobar com esbrinar el número de telèfon de recuperació complet vinculat a un compte de Google. Per aconseguir-ho se saltava els sistemes de protecció de l’empresa (com els CAPTCHA i els límits al sistema de peticions) i generava possibles números fent servir una llibreria pública de Google. L’investigador enviava fins a 40.000 peticions per segon, cosa que li permetia descobrir un número complet en un màxim de 20 minuts.

BruteCat explica que el temps necessari per descobrir un número en qüestió variava depenent del país: mentre que als Estats Units feien falta 20 minuts, a països com el Regne Unit, els Països Baixos o Singapur n’hi havia prou amb molt menys temps (4 minuts, 15 segons i 5 segons, respectivament). L’investigador va informar del problema el 14 d’abril d’aquest mateix any i va rebre 5.000 dòlars a canvi de la seva aportació. L’empresa ha confirmat que la vulnerabilitat està solucionada des del 6 de juny passat, per la qual cosa ja no hi ha manera d’explotar-la i les nostres dades estan segures.