Aggiornamenti recenti Luglio 25th, 2025 4:14 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cybercriminali distribuiscono un infostealer tramite un gioco per Steam
- Generative AI cinesi: i rischi dell’adozione incontrollata nelle aziende
- Voci IA indistinguibili da quelle reali: Sam Altman lancia l’allarme
- WhoFi: da La Sapienza arriva un sistema di riconoscimento biometrico basato sul Wi-Fi
- Attacco ToolShell a Sharepoint: i criminali hanno iniziato usarlo almeno dal 7 luglio
Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Di recente Google ha agito su un bug che consentiva di individuare il numero di telefono degli utenti dei servizi della compagnia. A individuare per primo la problematica è stato Brutecat, un ricercatore di sicurezza che ha illustrato la scoperta sul suo blog.
Tutto è cominciato quando il ricercatore ha disabilitato Javascript sul proprio browser per verificare se vi fossero dei servizi Google che funzionassero anche senza JS; dall’analisi è emerso che una pagina obsoleta ma funzionante per il recupero dello username effettivamente eseguiva il flusso anche senza Javascript abilitato.
Questo modulo per il recupero del nome utente è una versione semplificata di quello moderno dove non sono implementate le stesse misure di sicurezza, come la protezione anti-bot BotGuard o sistemi contro gli attacchi brute-force. C’erano comunque due meccanismi di sicurezza da superare: il blocco dell’IP dopo un certo numero di tentativi di login e il CAPTCHA. Per superare il primo problema, il ricercatore ha usato uno script che faceva in modo che ogni richiesta al server provenisse da un indirizzo IP diverso.
Per la seconda problematica, invece, Brutecat ha sfruttato il token BotGuard (parametro bgresponse) generato nella richiesta alla pagina di recupero con JS abilitato usandolo nel modulo obsoleto. Il token viene utilizzato per confermare che la sessione è legittima ed è servito quindi al ricercatore per automatizzare il flusso di attacco, senza incappare nei CAPTCHA.
Conoscendo il nome e il cognome delle vittime, eseguire l’attacco non è così difficile. Un altro “aiuto” da Google deriva dalla funzione di recupero password che, inserito l’indirizzo email, mostra le ultime due cifre del numero di telefono e il prefisso internazionale. Questo, in generale, consente di ridurre il numero di tentativi per scoprire il numero.
Con questo indizio, lo script di Brutecat si limitava a generare tutti i numeri possibili che rispettassero il formato del Paese della vittima e finisse con le due cifre mostrate da Google. A ogni richiesta, lo script inviava il nome e cognome della vittima, il nuovo indirizzo IP, il token botguard e il numero di telefono da testare, fino a ottenere un risultato positivo dal server.
L’impatto del bug di Google
Riducendo notevolmente la quantità di numeri di telefono possibili da testare e sfruttando le vulnerabilità del modulo di recupero obsoleto per aggirare i controlli, Brutecat è riuscito nel suo intento.
Il ricercatore ha spiegato di aver effettuato circa 40.000 tentativi al secondo. Per scoprire un numero di telefono statunitense ha impiegato in media 20 minuti, mentre per un numero del Regno Unito soltanto 4. Nel caso di numeri olandesi e di Singapore, il tempo medio è di pochi secondi.
Brutecat ha individuato il bug lo scorso aprile e ha immediatamente avvertito Google. Inizialmente la compagnia aveva ritenuto che la probabilità che un attaccante riuscisse a sfruttare la vulnerabilità fosse bassa e che quindi non ci fosse bisogno di un intervento urgente. In seguito a un ulteriore confronto col ricercatore, Google ha innalzato la probabilità a “media” e lo scorso 22 maggio ha rilasciato alcune modifiche per mitigare il rischio di attacco.
Contattata da TechCrunch, Google ha chiarito che al momento non è a conoscenza di attacchi che hanno sfruttato questa vulnerabilità.
Condividi l'articolo
Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
Helmon e la cybersecurity per tutti. Soprattutto le PMI
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS ipervolumetrici, ancora numeri da record... Gli attacchi DDoS, compresi quelli ipervolumetrici,... -
Liste di dati sul dark web: una fonte inaffidabile per le... In una recente analisi, Group-IB ha approfondito il ruolo... -
IconAds: quando le app fantasma diventano portali... Recentemente il team Satori Threat Intelligence di HUMAN ha... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cybercriminali distribuiscono un infostealer tramite un... I ricercatori di Prodaft, compagnia di cybersecurity, hanno... -
Generative AI cinesi: i rischi dell’adozione... Un nuovo studio condotto da Harmonic Security rivela uno... -
Voci IA indistinguibili da quelle reali: Sam Altman lancia... Sam Altman è spaventato dalla crescente capacità... -
WhoFi: da La Sapienza arriva un sistema di riconoscimento... Dall’Università La Sapienza di Roma arriva WhoFi, un... -
Attacco ToolShell a Sharepoint: i criminali hanno iniziato... La campagna di attacchi mirati che sta sfruttando una...
Ransomware: la serie
No posts found.