كاليفورنيا – سويفت نيوز:
اكتشف باحث أمني ثغرة أمنية يُمكن استغلالها للكشف عن رقم هاتف الاسترداد الخاص لأي حساب “جوجل” تقريبًا دون تنبيه صاحبه، مما قد يُعرّض المستخدمين لمخاطر تتعلق بالخصوصية والأمان.
أكدت “جوجل” أنها أصلحت الثغرة بعد أن أبلغها الباحث في أبريل، بحسب تقرير نشره موقع “تك كرانش”.
أفاد الباحث المستقل، الذي يحمل اسم المستخدم brutecat ونشر نتائجه على مدونته، أنه يُمكنه الحصول على رقم هاتف الاسترداد لحساب “جوجل” من خلال استغلال ثغرة في ميزة استرداد الحساب بالشركة.
اعتمدت هذه الثغرة على “سلسلة هجمات” من عدة عمليات فردية تعمل بالتزامن، بما في ذلك تسريب اسم العرض الكامل لحساب مُستهدف، وتجاوز آلية حماية من البرامج الروبوتية التي طبقتها “جوجل” لمنع الرسائل الخبيثة غير المرغوب فيها لطلبات إعادة تعيين كلمة المرور.
سمح تجاوز حد السرعة في النهاية للباحث بإجراء جميع التعديلات الممكنة لرقم هاتف حساب “جوجل” في فترة زمنية قصيرة والوصول إلى الأرقام الصحيحة.
من خلال أتمتة سلسلة الهجوم باستخدام نص برمجي، قال الباحث إنه من الممكن اختراق رقم هاتف الاسترداد الخاص بصاحب حساب “جوجل” باستخدام القوة الغاشمة في غضون 20 دقيقة أو أقل، وذلك حسب طول رقم الهاتف.
قد يُعرّض الكشف عن رقم هاتف الاسترداد الخاص حتى حسابات “جوجل” المجهولة لهجمات مُستهدفة، مثل محاولات الاستيلاء.
إن تحديد رقم هاتف خاص مرتبط بحساب “جوجل” لشخص ما قد يُسهّل على المُخترقين المُحنّكين السيطرة على هذا الرقم من خلال هجوم تبديل بطاقة SIM، على سبيل المثال.
بالتحكم في هذا الرقم، يُمكن للمُهاجم إعادة تعيين كلمة مرور أي حساب مُرتبط به عن طريق توليد رموز إعادة تعيين كلمة المرور المُرسلة إلى ذلك الهاتف.
وقالت كيمبرلي سمرا، المُتحدثة باسم شركة جوجل: “تم إصلاح هذه المشكلة. لطالما أكّدنا على أهمية العمل مع مجتمع أبحاث الأمن من خلال برنامج مكافآت الثغرات الأمنية لدينا، ونودّ أن نشكر الباحث على إبراز هذه المشكلة”.
وأضافت: “تُعدّ مُساهمات الباحثين هذه إحدى الطرق العديدة التي تُمكّننا من العثور على المشاكل وإصلاحها بسرعة من أجل سلامة مُستخدمينا”.
صرح سمرا أن الشركة لم ترصد “أية روابط مؤكدة ومباشرة للثغرات الأمنية حتى الآن”.
وأفاد Brutecat أن “جوجل” دفعت 5000 دولار كمكافأة لاكتشافه الثغرات.
