Um investigador de segurança descobriu uma vulnerabilidade grave que poderia ser explorada para revelar o número de telemóvel privado associado a praticamente qualquer conta Google, sem que o proprietário fosse notificado. A falha, que colocava em risco a privacidade e a segurança de milhões de utilizadores, já foi corrigida pela gigante tecnológica.
A Google confirmou ao TechCrunch ter resolvido o problema depois de ter sido alertada pelo investigador em abril. O especialista independente, conhecido pelo pseudónimo "brutecat", detalhou que conseguiu obter o número de telemóvel de recuperação de uma conta Google ao explorar uma falha no sistema de recuperação da própria empresa.
A cadeia de ataque que contornou as defesas da Google
O método não se baseava numa única falha, mas sim numa "cadeia de ataque" que combinava vários processos. O investigador conseguiu primeiro extrair o nome de exibição completo de uma conta-alvo e, em seguida, contornar um mecanismo de proteção anti-bot que a Google tinha implementado para impedir pedidos maliciosos e em massa de reposição de palavra-passe.
Ao ultrapassar este limite de tentativas, o investigador conseguiu, através de um ataque de força bruta, testar todas as combinações possíveis para um número de telemóvel associado a uma conta Google num curto espaço de tempo, até encontrar a sequência correta de dígitos. "brutecat" automatizou todo o processo com um script, tornando possível descobrir o número de telemóvel de recuperação de um utilizador em 20 minutos ou menos.
Para validar a descoberta, o TechCrunch criou uma nova conta Google com um número de telemóvel nunca antes utilizado e forneceu apenas o endereço de e-mail ao investigador. Pouco tempo depois, "brutecat" enviou uma mensagem com o número exato que tinha sido configurado, confirmando o sucesso do ataque com um simples "bingo 
". As descobertas foram também publicadas pelo investigador no seu blog.
Os riscos de privacidade e segurança para os utilizadores
A revelação de um número de telemóvel privado pode expor até mesmo contas Google anónimas a ataques direcionados, incluindo tentativas de apropriação da conta. Identificar o número privado associado a uma conta torna mais fácil para hackers qualificados realizarem um ataque de "SIM swap".
Neste tipo de ataque, o cibercriminoso consegue tomar o controlo do número de telemóvel da vítima, convencendo a operadora a transferir o número para um cartão SIM na sua posse. Com o controlo do número, o atacante pode facilmente repor a palavra-passe de qualquer conta associada, recebendo os códigos de verificação enviados para esse mesmo número.
A resposta da Google: falha corrigida e recompensa paga
Dada a gravidade do risco para o público, a notícia foi retida até que a Google pudesse implementar uma correção. Uma porta-voz da Google, Kimberly Samra, confirmou a resolução do problema. "Este problema foi corrigido. Sempre destacámos a importância de trabalhar com a comunidade de investigadores de segurança através do nosso programa de recompensas por vulnerabilidades e queremos agradecer ao investigador por ter sinalizado este problema", afirmou.
A representante da empresa acrescentou que "as submissões de investigadores como esta são uma das muitas maneiras pelas quais conseguimos encontrar e corrigir rapidamente problemas para a segurança dos nossos utilizadores", e que, até ao momento, não existem provas de que esta falha tenha sido explorada por agentes maliciosos.
Pela sua descoberta e reporte responsável, "brutecat" recebeu da Google uma recompensa de 5.000 dólares (cerca de 4.600 euros) através do programa de "bug bounty" da empresa.
Nenhum comentário
Seja o primeiro!