Googleは、アカウントの復旧電話番号をブルートフォース攻撃で特定できる可能性があるセキュリティの欠陥に対処しました。これにより、プライバシーやセキュリティのリスクにさらされる可能性がありました。
この問題は、シンガポールのセキュリティ研究者「brutecat」によると、同社のアカウント復旧機能の問題を利用しています。
ただし、この脆弱性を悪用するには、いくつかの要素が絡んでおり、特にスパムリクエストを防ぐための悪用防止保護が欠けている、現在は廃止されたJavaScript無効バージョンのGoogleユーザー名復旧フォーム(「accounts.google[.]com/signin/usernamerecovery」)を標的にしています。
問題のページは、特定の表示名(例:「John Smith」)に関連付けられた復旧用メールまたは電話番号があるかどうかを確認するために設計されています。
しかし、CAPTCHAベースのレート制限を回避することで、短時間でGoogleアカウントの電話番号のすべての組み合わせを試すことが可能になり、電話番号の長さ(国によって異なる)に応じて数秒または数分で正しい数字に到達できます。
攻撃者はまた、Googleのパスワード忘れフローを利用して、被害者の電話番号に関連付けられた国コードを特定し、Looker Studioドキュメントを作成して所有権を被害者に移すことで、ホームページ上にフルネームが漏洩するようにすることができます。
全体として、このエクスプロイトを実行するには以下のステップが必要です –
- Looker Studioを通じてGoogleアカウントの表示名を漏洩させる
- ターゲットのメールアドレスに対してパスワード忘れフローを実行し、攻撃者に最後の2桁が表示されるマスクされた電話番号を取得する(例:•• ••••••03)
- ユーザー名復旧エンドポイントに対して電話番号をブルートフォースする
Brutecatによれば、シンガポールの番号は上述の技術を使用して5秒で漏洩させることができ、米国の番号は約20分で特定できるとのことです。
Googleアカウントに関連付けられた電話番号の知識を持つ悪意のある人物は、SIMスワッピング攻撃を通じてそれを制御し、その電話番号に関連付けられた任意のアカウントのパスワードを最終的にリセットすることができます。
2025年4月14日に責任ある開示が行われた後、Googleは研究者に$5,000のバグ報奨金を授与し、2025年6月6日までに非JavaScriptユーザー名復旧フォームを完全に廃止することで脆弱性を修正しました。
この発見は、同じ研究者がYouTube APIの欠陥とPixel Recorderに関連する古いWeb APIを組み合わせて、任意のYouTubeチャンネル所有者のメールアドレスを暴露できる$10,000のエクスプロイトを詳細に説明した数ヶ月後に発表されました。
その後、3月にbrutecatは、YouTubeパートナープログラム(YPP)の一部であるクリエイターのメールアドレスを、”/get_creator_channels”エンドポイントのアクセス制御問題を利用して取得できることを明らかにし、$20,000の報酬を得ました。
“[An] /get_creator_channelsのアクセス制御問題により、チャンネルのcontentOwnerAssociationが漏洩し、Content ID APIを通じてチャンネルのメールアドレスが開示される,”とGoogleは述べました。
“YouTubeパートナープログラムに参加しているチャンネルを持つGoogleアカウントにアクセスできる攻撃者(300万以上のチャンネル)が、他のYouTubeパートナープログラムのチャンネルのメールアドレスや収益化の詳細を取得できます。攻撃者はこれを利用してYouTuberの匿名性を解除したり、フィッシングを行うことができます。”
翻訳元: https://thehackernews.com/2025/06/researcher-found-flaw-to-discover-phone.html