網(wǎng)絡(luò)安全專家 BruteCat 報(bào)告新的安全漏洞，僅通過用戶的谷歌個(gè)人資料名稱和部分手機(jī)號(hào)碼，就能暴力破解出賬戶的恢復(fù)手機(jī)號(hào)碼。

　　BruteCat 發(fā)現(xiàn)了一個(gè)已被廢棄的無 JavaScript 版本的谷歌用戶名恢復(fù)表單，該表單缺乏現(xiàn)代防護(hù)機(jī)制。通過用戶的個(gè)人資料顯示名稱(如“John Smith”)，攻擊者可通過兩個(gè) POST 請(qǐng)求查詢與谷歌賬戶關(guān)聯(lián)的手機(jī)號(hào)碼。

　　BruteCat 利用 IPv6 地址輪轉(zhuǎn)技術(shù)，生成大量唯一 IP 地址，輕松繞過表單的簡單速率限制。同時(shí)，他通過替換參數(shù)和獲取有效 BotGuard 令牌，成功繞過 CAPTCHA 驗(yàn)證。

　　最終，他開發(fā)出一款暴力破解工具“gpb”，能以每秒 40000 次請(qǐng)求的速度，快速破解手機(jī)號(hào)碼。例如，破解美國號(hào)碼僅需 20 分鐘，英國 4 分鐘，荷蘭不到 15 秒。

　　攻擊需先獲取目標(biāo)的電子郵箱地址。盡管 Google 去年已將郵箱設(shè)為隱藏，BruteCat 表示無需與目標(biāo)互動(dòng)，通過創(chuàng)建 Looker Studio 文檔并轉(zhuǎn)移所有權(quán)至目標(biāo) Gmail 地址，就能獲取目標(biāo)的顯示名稱。

　　此外，利用 Google 賬戶恢復(fù)流程可顯示恢復(fù)號(hào)碼的部分?jǐn)?shù)字(如 2 位)，結(jié)合其他服務(wù)(如 PayPal)的密碼重置提示，可進(jìn)一步縮小范圍。IT之家附上演示視頻如下：

　　BruteCat 于 2025 年 4 月 14 日通過 Google 漏洞獎(jiǎng)勵(lì)計(jì)劃(VRP)報(bào)告此問題。Google 最初評(píng)估風(fēng)險(xiǎn)較低，但于 5 月 22 日將其升級(jí)為“中等嚴(yán)重”，并支付研究員 5000 美元獎(jiǎng)勵(lì)。

　　谷歌于 6 月 6 日確認(rèn)已完全廢棄該漏洞端點(diǎn)，攻擊路徑不再可行，但是否曾被惡意利用尚不得而知。