Categories: Новини

Вразливість в Google відкрила шлях до зламу будь-якого номера телефону

Ризики для власників Android-пристроїв

Дослідники з галузі кібербезпеки виявили уразливість у сервісах Google, що дозволяє зловмисникам дізнатися номер телефону, пов’язаний із обліковим записом. За даними видання Wired, зловмисники можуть використати цю вразливість для організації SIM-свопінгу та інших атак, наражаючи на небезпеку мільйони користувачів Android,  пише Wired, посилаючись на дані Google та 404 Media.

Brute-force-метод і його ефективність

Хоча телефонний номер зазвичай вважається приватною інформацією, новий експлойт дає змогу підібрати його навіть із обмеженими обчислювальними ресурсами, застосовуючи метод «грубої сили». Схильні до ризику практично всі власники Android-пристроїв, оскільки їхні номери тісно інтегровані з обліковими записами Google. Незалежний дослідник під псевдонімом brutecat, який знайшов уразливість, відзначив: «Цей експлойт відкриває справжню “золоту жилу” для тих, хто практикує заміну SIM-карт».

Що таке SIM-свопінг?

SIM-свопінг — це атака, коли зловмисники отримують контроль над номером жертви, перенаправляючи дзвінки й SMS на свою SIM-картку. Отримавши доступ до вхідних кодів двофакторної автентифікації, вони можуть зламувати акаунти в банківських додатках, криптобіржах та інших сервісах. Номери телефонів давно є основним ресурсом для так званих SIM-обмінників — організованих груп, що займаються крадіжками цифрових ідентичностей.

Швидкість підбору номера

У середині квітня журналісти надали brutecat тестовий акаунт Gmail. Завдяки автоматизованому перебору числових комбінацій він встановив правильний номер телефону за приблизно шість годин. Для абонентів США підбір займає до години, для Великої Британії — близько восьми хвилин, а в деяких країнах — менше хвилини. Єдина потрібна хакерам інформація — ім’я користувача Google. Спочатку зловмисники передають жертві право власності на документ у Google Looker Studio, змінюючи його назву на набір невізуальних символів, щоб не привертати уваги до сповіщень. Далі вони автоматично перебирають можливі варіанти телефонного номера.

Як Google виправила проблему

Представники Google підтвердили, що уразливість уже усунута. Інформацію про помилку компанії надіслав дослідник через офіційну програму винагород. За знахідку brutecat отримав 5000 доларів. Спочатку Google кваліфікувала проблему як низькозагрозливу, однак згодом підвищила рівень до середнього. Цей інцидент нагадує про необхідність використовувати додаткові заходи безпеки для захисту облікових записів.

Aleksandr V.

Recent Posts

У світі різко погіршується зір: науковці попереджають про “епідемію” короткозорості

Вчені прогнозують епідемію короткозорості через збільшення випадків у молодих людей та вплив екології і гаджетів.

3 хвилини ago

Чому варто класти смартфон екраном донизу: три важливі причини

Дізнайтесь, чому варто класти смартфон екраном донизу: економія батареї, повага до співрозмовників та більше часу…

1 годину ago

Несподіваний секрет довголіття: вчені назвали простий фрукт для раціону

Вчені вважають лимони продуктом довголіття. Їх вживання зміцнює імунітет, знижує ризик серцевих захворювань та містить…

2 години ago

Чому мобільний інтернет може не працювати: найпоширеніші проблеми та способи рішення

Дізнайтеся, чому може не працювати мобільний інтернет та як вирішити цю проблему за допомогою порад…

3 години ago

Нові дослідження: скільки алкоголю на тиждень збільшує ризик раку та хвороб серця

Канадські науковці визначили, що вживання 3-6 алкогольних напоїв на тиждень підвищує ризик раку. Пийте обережно!

5 години ago

Як видалити збережені паролі у популярних браузерах та захистити свої дані від хакерів

Дізнайтеся, як безпечно видалити збережені паролі з популярних браузерів, щоб уникнути злому та захистити свої…

7 години ago