谷歌账户恢复漏洞致攻击者可获取任意用户手机号

发布时间：2025-12-07 20:09:58 作者：玩站小弟

根据BruteCat安全研究人员本周披露的报告，谷歌账户恢复系统中存在一个高危漏洞，攻击者可通过精心设计的暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复，其利用谷歌的无JavaScriptN 。

根据BruteCat安全研究人员本周披露的谷歌报告，谷歌账户恢复系统中存在一个高危漏洞，账户致攻攻击者可通过精心设计的恢复户手暴力破解攻击获取任意谷歌用户的手机号码。该漏洞现已被修复，漏洞其利用谷歌的香港云服务器击者机号无JavaScript（No-JS）用户名恢复表单绕过安全防护机制，窃取敏感个人信息。可获

漏洞原理分析

该漏洞存在于谷歌遗留的取任无JavaScript用户名恢复系统中。研究人员发现，意用这个被遗忘的谷歌接口可被操纵来验证特定手机号是免费模板否与特定显示名称相关联，从而为系统化的账户致攻手机号枚举创造了条件。

攻击实施步骤

攻击方法包含三个关键环节：

通过Looker Studio转移文档所有权获取目标谷歌账户显示名称（无需受害者任何交互）发起谷歌密码找回流程获取部分掩码处理的恢复户手手机号提示（仅显示末尾几位数字）使用名为"gpb"的自定义工具，根据已知显示名对完整手机号进行暴力破解绕过防护机制的模板下载漏洞技术手段

研究人员通过两项关键技术突破谷歌的速率限制防护：

利用IPv6地址范围提供超过18万亿个唯一IP地址，实现每次请求切换不同IP，击者机号有效规避谷歌反滥用机制发现JavaScript表单的可获botguard令牌可复用于无JS版本，从而规避验证码挑战攻击效率与影响范围

该攻击效率惊人，取任研究人员使用每小时0.3美元的服务器租用低配服务器即可实现每秒约4万次验证尝试。根据国家代码不同，完整手机号获取时间从新加坡等小国的数秒到美国约20分钟不等。

漏洞修复与响应

谷歌于2025年4月14日收到漏洞报告后迅速响应：

立即实施临时缓解措施2025年6月6日完全弃用存在漏洞的无JS用户名恢复表单初始奖励337美元，经研究人员申诉后提升至5000美元（基于该攻击无前置条件且难以检测的建站模板特性）

此事件凸显了遗留系统带来的持续安全挑战，以及对所有服务端点（包括看似过时或极少使用的接口）进行全面安全审计的重要性。

Tag：

20款“小而美”的免费网络安全工具推荐
在很多企业管理者的眼里，网络安全工作依然是一个成本中心，会增加内部的工作摩擦并降低业务效率。而事实上，在网络安全领域也有许多开源的安全工具和项目可供企业安全团队和分析师们免费使用。借助这些开源工具，企
2025-12-07
阿里云数据安全治理实践
一、数据安全治理与法律法规下面和大家分享下数据安全治理与相关的法律法规。1、逐步完善的法律法规近年来，数据安全相关的法律法规正在逐步完善。相关立法之前普遍是以国家或者行业的推荐性标准的形式存在，我们所
2025-12-07
避免多因素身份认证MFA方案“负能量”的五个关键要素
在“零信任”时代，多因素认证MFA）技术已经成为现代企业组织加强身份安全管理的“必修课”。然而，当前MFA技术在实际应用中的表现却远远称不上完美，有很多企业的MFA最终成了摆设，甚至成了企业网络安全工
2025-12-07
云安全态势管理工具的终极指南
云安全状态管理是一种安全解决方案，可以帮助企业确定其云计算基础设施是否经过安全配置和合规。通过审查和评估环境设置和配置，云安全态势管理技术自动监控公共云服务配置和安全设置中的风险。组织
2025-12-07
投资周界安全解决方案时需要考虑的因素
工业安全可以通过安全门和屏障等周界安全措施得到改善。安全门的设计目的是是为了控制对某个区域的访问，同时还提供额外的安全功能，如锁和警报。安全屏障，如围栏或护柱，形成一个物理屏障，有助于阻止入侵者进入设
2025-12-07
新一代API安全技术需要具备十种能力
在数字化时代，几乎所有的企业都需要依赖大量API进行服务连接、数据传输和系统控制，在此背景下，确保各类API的安全应用也变得越来越重要。然而，有很多企业还没有对API应用存在的安全威胁给予足够重视，这
2025-12-07