在如今数字化飞速发展的时代,网络安全问题犹如一颗定时炸弹,时刻威胁着我们的信息安全!最近一个新发现的谷歌账户安全漏洞,如同一场网络风暴,引发了大家的广泛关注!有这么一批研究人员居然仅靠掌握谷歌用户资料名和少量手机号,就能破解出账户恢复手机号,这真的很可怕很让人心慌!现在,让我们一起来深入探究这件让人胆战心惊的事情
恐怖漏洞现身
网络安全专家 BruteCat 最近是如同大海里捞出了致命的针一样,发现了这个新的谷歌安全漏洞。原来存在一个已被废弃的无 JavaScript 版本的谷歌用户名恢复表单,这个表单就像没有装防护栏的高楼层一样,缺乏现代防护机制。攻击者只要得到用户的个人资料显示名称,仅仅通过两个 POST 请求,就如同拥有了破解魔法一样,能查询与谷歌账户关联的手机号码。
绕过双重限制
想要破解账户恢复手机号,可不是一帆风顺的,过程中会遇到表单的速率限制和 CAPTCHA 验证这两大阻碍。这个 BruteCat ,那可是聪明得很。他利用 IPv6 地址轮转技术,如同千变万化的魔术师一般,生成大量唯一 IP 地址,轻而易举地绕过了表单简单的速率限制。而且还通过替换参数和获取有效 BotGuard 令牌,成功绕过像守护神一样的 CAPTCHA 验证。这一套操作下来,为破解账户恢复手机号铺平了道路
强大破解工具
BruteCat 可真不是一般人,还研发出了暴力破解工具“gpb”。这工具就跟超级武器一样,能以每秒 40000 次请求这样惊人的速度去快速破解手机号码。不同国家和地区的号码破解时间差距那叫一个大!美国号码 20 分钟就能被破解,英国 4 分钟就行,荷兰不到 15 秒,新加坡更是夸张,还不到 5 秒!这速度简直快得可怕,让我们的信息就像裸露在外面一样,毫无安全可言
另类信息收集
要进行攻击,首先得获取目标的电子邮箱地址。虽然 Google 去年就把邮箱设为隐藏了,但是 BruteCat 却有奇招!他不需要和目标互动,只要创建 Looker Studio 文档,然后把所有权转移到目标 Gmail 地址,就能获取目标的显示名称。再结合利用 Google 账户恢复流程显示的恢复号码部分数字和其他服务的密码重置提示,进一步缩小破解范围。这另类的信息收集方式,就像小偷有了高明的入室技巧一样。
发现报告流程
BruteCat 在 2025 年 4 月 14 日通过 Google 的漏洞奖励计划(VRP)报告了这个问题。一开始,Google 觉得风险低得很,等到 5 月 22 日又把问题的严重等级升级为“中等严重”,还给了研究者 5000 美元作为奖励。这态度的转变,也让人有点摸不着头脑。
漏洞终被封堵
终于等到了一个好消息,谷歌在 6 月 6 日确定完全废弃这个漏洞端点,攻击这条“危险通道”走不通了。但不知道这漏洞在前面的时间里,有没有被一些心怀不轨的恶意分子利用过。这个未知就像悬在我们头上的一把剑,时刻让我们感到不安
大家想想,网络安全这么重要的事情,这漏洞居然存在了这么长时间还被破解。你觉得怎么才能更好地保障我们的网络信息安全?请在评论区聊一聊,别忘了给我点赞、分享这篇文章!
