Aggiornamenti recenti Giugno 11th, 2025 5:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
- Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
- Helmon e la cybersecurity per tutti. Soprattutto le PMI
- Le aziende italiane prevedono un aumento degli investimenti in cybersecurity
- CERT-AGID 31 maggio – 6 giugno: LiberoMail sotto attacco e una nuova campagna MintsLoader
Un bug di Google consentiva di scoprire il numero di telefono degli utenti in pochi minuti
Di recente Google ha agito su un bug che consentiva di individuare il numero di telefono degli utenti dei servizi della compagnia. A individuare per primo la problematica è stato Brutecat, un ricercatore di sicurezza che ha illustrato la scoperta sul suo blog.
Tutto è cominciato quando il ricercatore ha disabilitato Javascript sul proprio browser per verificare se vi fossero dei servizi Google che funzionassero anche senza JS; dall’analisi è emerso che una pagina obsoleta ma funzionante per il recupero dello username effettivamente eseguiva il flusso anche senza Javascript abilitato.
Questo modulo per il recupero del nome utente è una versione semplificata di quello moderno dove non sono implementate le stesse misure di sicurezza, come la protezione anti-bot BotGuard o sistemi contro gli attacchi brute-force. C’erano comunque due meccanismi di sicurezza da superare: il blocco dell’IP dopo un certo numero di tentativi di login e il CAPTCHA. Per superare il primo problema, il ricercatore ha usato uno script che faceva in modo che ogni richiesta al server provenisse da un indirizzo IP diverso.
Per la seconda problematica, invece, Brutecat ha sfruttato il token BotGuard (parametro bgresponse) generato nella richiesta alla pagina di recupero con JS abilitato usandolo nel modulo obsoleto. Il token viene utilizzato per confermare che la sessione è legittima ed è servito quindi al ricercatore per automatizzare il flusso di attacco, senza incappare nei CAPTCHA.
Conoscendo il nome e il cognome delle vittime, eseguire l’attacco non è così difficile. Un altro “aiuto” da Google deriva dalla funzione di recupero password che, inserito l’indirizzo email, mostra le ultime due cifre del numero di telefono e il prefisso internazionale. Questo, in generale, consente di ridurre il numero di tentativi per scoprire il numero.
Con questo indizio, lo script di Brutecat si limitava a generare tutti i numeri possibili che rispettassero il formato del Paese della vittima e finisse con le due cifre mostrate da Google. A ogni richiesta, lo script inviava il nome e cognome della vittima, il nuovo indirizzo IP, il token botguard e il numero di telefono da testare, fino a ottenere un risultato positivo dal server.
L’impatto del bug di Google
Riducendo notevolmente la quantità di numeri di telefono possibili da testare e sfruttando le vulnerabilità del modulo di recupero obsoleto per aggirare i controlli, Brutecat è riuscito nel suo intento.
Il ricercatore ha spiegato di aver effettuato circa 40.000 tentativi al secondo. Per scoprire un numero di telefono statunitense ha impiegato in media 20 minuti, mentre per un numero del Regno Unito soltanto 4. Nel caso di numeri olandesi e di Singapore, il tempo medio è di pochi secondi.
Brutecat ha individuato il bug lo scorso aprile e ha immediatamente avvertito Google. Inizialmente la compagnia aveva ritenuto che la probabilità che un attaccante riuscisse a sfruttare la vulnerabilità fosse bassa e che quindi non ci fosse bisogno di un intervento urgente. In seguito a un ulteriore confronto col ricercatore, Google ha innalzato la probabilità a “media” e lo scorso 22 maggio ha rilasciato alcune modifiche per mitigare il rischio di attacco.
Contattata da TechCrunch, Google ha chiarito che al momento non è a conoscenza di attacchi che hanno sfruttato questa vulnerabilità.
Condividi l'articolo
Microsoft rilascia patch per 67 bug, di cui uno già sfruttato
Helmon e la cybersecurity per tutti. Soprattutto le PMI
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Microsoft rilascia patch per 67 bug, di cui uno già... Nell’aggiornamento di sicurezza di giugno Microsoft... -
Un bug di Google consentiva di scoprire il numero di... Di recente Google ha agito su un bug che consentiva... -
Helmon e la cybersecurity per tutti. Soprattutto le PMI In un contesto nazionale in cui il cyber crime colpisce... -
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra...
-
CERT-AGID 31 maggio – 6 giugno: LiberoMail sotto... Nel corso della settimana, il CERT-AGID ha identificato e...
Ransomware: la serie
No posts found.
