Google用戶的電話號碼可被暴力破解

資安研究人員BruteCat周一（6/9）揭露，他利用Google在無JavaScript模式中忘了關閉的帳戶復原服務，成功地暴力破解了Google用戶的電話號碼。

為了避免遭到濫用，Google至少自2018年於登錄服務中就開始實施JavaScript機器人檢測框架，以防止機器人登錄。BruteCat說，他是在今年初於瀏覽器上關閉了JavaScript，想查探是否有任何Google服務在沒有JavaScript的情況下仍能運作，發現帳戶復原服務竟然還是有效的。

該服務允許透過兩個HTTP請求，來檢查所輸入的電子郵件或電話號碼是否與所顯示的特定名字有關。

儘管Google試圖藉由限制單一IP的請求頻率，以及人機驗證CAPTCHA來減少濫用行為。但BruteCat採用IPv6以隨機切換來源位址，並利用BotGuard令牌來繞過CAPTCHA，接著撰寫一個自動化工具以於密碼恢復流程中，取得只有兩個數字的遮罩電話號碼提示，再進行暴力破解。

BruteCat利用每小時0.3美元的伺服器資源即可執行每秒4萬次的檢查，發現找到一個正確的美國電話號碼只要20分鐘，找到一個英國號碼只要4分，找到一個荷蘭號碼只需15秒，新加坡號碼更只要5秒。

他在今年4月將漏洞報告提交給Google，獲得5,000美元的獎金，而Google則於今年6月確認，無JavaScript的使用者名稱復原表單已全面被棄用。