谷歌账户恢复漏洞致攻击者可获取任意用户手机号

发布时间：2025-12-07 11:50:38 作者：玩站小弟

根据BruteCat安全研究人员本周披露的报告，谷歌账户恢复系统中存在一个高危漏洞，攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复，其利用谷歌的无JavaScriptN 。

根据BruteCat安全研究人员本周披露的谷歌报告，谷歌账户恢复系统中存在一个高危漏洞，账户致攻攻击者可通过精心设计的恢复户手暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复，漏洞其利用谷歌的源码下载击者机号无JavaScript（No-JS）用户名恢复表单绕过安全防护机制，窃取敏感个人信息。可获

漏洞原理分析

该漏洞存在于谷歌遗留的取任无JavaScript用户名恢复系统中。研究人员发现，意用这个被遗忘的谷歌接口可被操纵来验证特定手机号是服务器租用否与特定显示名称相关联，从而为系统化的账户致攻手机号枚举创造了条件。

攻击实施步骤

攻击方法包含三个关键环节：

通过Looker Studio转移文档所有权获取目标谷歌账户显示名称（无需受害者任何交互）发起谷歌密码找回流程获取部分掩码处理的恢复户手手机号提示（仅显示末尾几位数字）使用名为"gpb"的自定义工具，根据已知显示名对完整手机号进行暴力破解绕过防护机制的亿华云漏洞技术手段

研究人员通过两项关键技术突破谷歌的速率限制防护：

利用IPv6地址范围提供超过18万亿个唯一IP地址，实现每次请求切换不同IP，击者机号有效规避谷歌反滥用机制发现JavaScript表单的可获botguard令牌可复用于无JS版本，从而规避验证码挑战攻击效率与影响范围

该攻击效率惊人，取任研究人员使用每小时0.3美元的模板下载低配服务器即可实现每秒约4万次验证尝试。根据国家代码不同，完整手机号获取时间从新加坡等小国的数秒到美国约20分钟不等。

漏洞修复与响应

谷歌于2025年4月14日收到漏洞报告后迅速响应：

立即实施临时缓解措施2025年6月6日完全弃用存在漏洞的无JS用户名恢复表单初始奖励337美元，经研究人员申诉后提升至5000美元（基于该攻击无前置条件且难以检测的免费模板特性）

此事件凸显了遗留系统带来的持续安全挑战，以及对所有服务端点（包括看似过时或极少使用的接口）进行全面安全审计的重要性。

Tag：

黑客组织入侵西部数据，10TB数据遭窃
3月份黑客曾在一次网络攻击中窃取了西部数据的敏感信息。在调查确认了此事后，西部数据已将其商店下线，并向客户发送了数据泄露通知。上周五下午，该公司通过电子邮件发送了数据泄露通知，称其数据库遭到攻击，存储
2025-12-07
聊聊分布式系统安全
介绍分布式系统通常是地理上分散的资源计算和通信）的组合，它们共同a）提供链接分散的数据生产者和使用者的服务，b）提供按需、高度可靠、高度可用且一致的资源访问，通常使用复制架构来处理资源故障，以及c）使
2025-12-07
无密码绕过！黑客利用ChatGPT劫持Facebook账户
Dark Reading 网站披露， 3 月 3 日- 3 月 9 日，每天至少有 2000 人从 Google Play 应用商店下载"快速访问 ChatGPT“ 的 Chrome 恶意扩展。据悉，
2025-12-07
智能建筑技术的局限性和风险
智能建筑技术的潜在安全风险智能建筑技术彻底改变了我们与环境互动的方式，为我们的生活提供了便利和高效。然而，随着这项技术使用的增加，必须解决潜在的安全风险。智能建筑技术旨在自动化许多与建筑运行相关的任务
2025-12-07
「一站式」解决企业数字化工作难题，奇安信发布“奇安天信”零信任工作系统
“信息化环境日益复杂，企业安全边界模糊，如何确保数字化工作安全、可信、合规、敏捷的开展？”7月7日，奇安信集团在2023全球数字经济大会上正式发布“奇安天信”零信任工作系统简称：奇安天信）。奇安信零信
2025-12-07
新的安全漏洞影响所有 MOVEit 传输版本
MOVEit Transfer应用程序所属公司Progress Software发布了最新补丁，以解决影响文件传输的SQL注入漏洞，这些漏洞可能导致敏感信息被盗。该公司在2023年6月9日发布的公告中
2025-12-07