2025-06-10 12:01:17
BruteCat发现了一个已被废弃的无JavaScript版本的谷歌用户名恢复表单,该表单缺乏现代防护机制。通过用户的个人资料显示名称(如“JohnSmith”),攻击者可通过两个POST请求查询与谷歌账户关联的手机号码。BruteCat利用IPv6地址轮转技术,生成大量唯一IP地址,轻松绕过表单的简单速率限制。同时,他通过替换参数和获取有效BotGuard令牌,成功绕过CAPTCHA验证。最终,他开发出一款暴力破解工具“gpb”,能以每秒40000次请求的速度,快速破解手机号码。例如,破解美国号码仅需20分钟,英国4分钟,荷兰不到15秒,新加坡不到5秒。攻击需先获取目标的电子邮箱地址。尽管Google去年已将邮箱设为隐藏,BruteCat表示无需与目标互动,通过创建LookerStudio文档并转移所有权至目标Gmail地址,就能获取目标的显示名称。此外,利用Google账户恢复流程可显示恢复号码的部分数字(如2位),结合其他服务(如PayPal)的密码重置提示,可进一步缩小范围。亚汇网附上演示视频如下:BruteCat于2025年4月14日通过Google漏洞奖励计划(VRP)报告此问题。Google最初评估风险较低,但于5月22日将其升级为“中等严重”,并支付研究员5000美元奖励。谷歌于6月6日确认已完全废弃该漏洞端点,攻击路径不再可行,但是否曾被恶意利用尚不得而知。广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,亚汇网所有文章均包含本声明。
您正在访问亚汇网香港分站,本站所提供的内容均遵守中华人民共和国香港特别行政区法律法规。
