Будь-який телефонний номер, асоційований з Google, може стати об'єктом крадіжки: які ризики чекають на власників?

Експерти в галузі кібербезпеки виявили метод, який дозволяє виявити будь-який номер телефону, асоційований з обліковим записом Google. Це відкриття може бути використане зловмисниками для маніпуляцій із SIM-картами та іншими формами автентифікації.

Цю інформацію повідомляє видання Wired, спираючись на дані від Google та журналу 404 Media.

Номер телефону часто є конфіденційною інформацією і не розкривається. Через виявлену вразливість хакери могли добути його навіть з відносно невеликими ресурсами, використовуючи метод "грубої сили" (brute force). Під загрозою опинилися власники практично всіх смартфонів під управлінням Android, оскільки вони прив'язуються до облікових записів Google.

"На мою думку, цей експлойт є досить ризикованим, адже він відкриває численні можливості для тих, хто займається підміною SIM-карт," - зазначив незалежний експерт у сфері безпеки під псевдонімом brutecat, який виявив цю проблему.

Підмінники SIM-карт — це злочинці, які отримують контроль над номером телефону своєї жертви, що дозволяє їм приймати дзвінки та текстові повідомлення. Це, в свою чергу, надає їм можливість зламувати різноманітні акаунти.

Номери телефонів є важливим елементом для SIM-обмінників. Кіберзлочинці цього типу були причетні до численних злочинів, метою яких було викрадення онлайн-ідентичностей користувачів або їхніх криптовалютних активів. Проте, сучасні SIM-обмінники також почали націлюватися на великі корпорації. Деякі з них мали тісні зв'язки з організованими злочинними угрупуваннями зі Східної Європи.

Отримавши номер телефону, зловмисник може звернутися до мобільного оператора, представившись жертвою, і попросити переадресувати повідомлення на іншу SIM-карту. Таким чином, хакер отримує доступ до SMS, що містять коди для скидання пароля або коди для двофакторної автентифікації, що дозволяє йому увійти в акаунти потерпілої особи.

Це може бути біржі, де зберігається криптовалюта або електронна пошта, яка відкриває доступ до багатьох інших облікових записів, наприклад, до банківських додатків.

У середині квітня журналісти надали brutecat одну з адрес електронної пошти Gmail для перевірки вразливості. Приблизно за шість годин він назвав правильний номер телефону, прив'язаний до акаунта.

Згідно з дослідженнями, метод brute force використовується в тих випадках, коли хакер послідовно перевіряє різні комбінації цифр або символів, поки не досягне успіху. Це зазвичай робиться для злому паролів. Час, необхідний для підбору, становить приблизно годину для американських номерів і близько 8 хвилин для британських, тоді як для інших країн цей процес може зайняти менше ніж хвилину.

Основним об'єктом інтересу хакерів є ім'я користувача в Google. Спочатку зловмисники надають жертві право доступу до документа в Google Looker Studio. Вони змінюють назву файлу на набір випадкових символів, що ускладнює жертві помітити зміну власності. Потім за допомогою спеціально розробленого коду, brutecat здійснює підбір номера телефону, поки не вдасться знайти потрібний, причому жертва не отримує жодних сповіщень.

Представник Google підтвердив 404 Media, що вразливість вже була виправлена. Компанія оперативно відреагувала на вказівку кіберексперта, яка була надіслана через програму винагород.