谷歌修复可能泄露用户私人电话号码的漏洞
安全研究人员发现了一个漏洞,可能被利用来泄露几乎任何谷歌帐户的私人辅助电话号码,而不会提醒其所有者。谷歌证实,在研究人员于四月份向公司发出警告后,已修复该漏洞。这位名为 brutecat 的独立研究员在博客上发布了他们的发现,并称其可以通过利用谷歌账户恢复功能中的一个漏洞,来获取谷歌账户的辅助电话号码。该漏洞利用依赖于多个独立进程协同工作的 “攻击链”,包括泄露目标帐户的完整显示名称,以及绕过谷歌为防止恶意滥发密码重置请求而实施的反机器人保护机制。绕过速率限制最终使研究人员能够在短时间内循环遍历谷歌账户电话号码的所有可能排列,并得出正确数字。
—— Techcrunch
安全研究人员发现了一个漏洞,可能被利用来泄露几乎任何谷歌帐户的私人辅助电话号码,而不会提醒其所有者。谷歌证实,在研究人员于四月份向公司发出警告后,已修复该漏洞。这位名为 brutecat 的独立研究员在博客上发布了他们的发现,并称其可以通过利用谷歌账户恢复功能中的一个漏洞,来获取谷歌账户的辅助电话号码。该漏洞利用依赖于多个独立进程协同工作的 “攻击链”,包括泄露目标帐户的完整显示名称,以及绕过谷歌为防止恶意滥发密码重置请求而实施的反机器人保护机制。绕过速率限制最终使研究人员能够在短时间内循环遍历谷歌账户电话号码的所有可能排列,并得出正确数字。
—— Techcrunch
