網(wǎng)絡(luò)安全領(lǐng)域近日傳來(lái)一則重大發(fā)現(xiàn)，安全專(zhuān)家BruteCat揭示了一項(xiàng)能夠利用谷歌用戶(hù)信息暴力破解賬戶(hù)恢復(fù)手機(jī)號(hào)碼的新漏洞。據(jù)悉，這一漏洞源于谷歌一個(gè)已被廢棄的無(wú)Java版本用戶(hù)名恢復(fù)表單，該表單缺乏必要的現(xiàn)代安全防護(hù)。

BruteCat通過(guò)深入研究，發(fā)現(xiàn)攻擊者僅需知道用戶(hù)的個(gè)人資料顯示名稱(chēng)（例如“張三”）和部分手機(jī)號(hào)碼，便有可能通過(guò)該表單暴力破解出完整的恢復(fù)手機(jī)號(hào)碼。這一過(guò)程中，攻擊者會(huì)利用兩個(gè)POST請(qǐng)求，針對(duì)谷歌賬戶(hù)關(guān)聯(lián)的手機(jī)號(hào)碼進(jìn)行查詢(xún)。

為了繞過(guò)表單的速率限制，BruteCat巧妙地運(yùn)用了IPv6地址輪轉(zhuǎn)技術(shù)，生成大量唯一的IP地址，從而輕松規(guī)避了簡(jiǎn)單的速率防護(hù)措施。他還通過(guò)替換參數(shù)和獲取有效的BotGuard令牌，成功突破了CAPTCHA驗(yàn)證的防線。

基于上述技術(shù)，BruteCat開(kāi)發(fā)了一款名為“gpb”的暴力破解工具，該工具能夠以每秒40000次請(qǐng)求的速度，迅速破解手機(jī)號(hào)碼。實(shí)驗(yàn)結(jié)果顯示，破解美國(guó)號(hào)碼僅需約20分鐘，英國(guó)號(hào)碼則需4分鐘，而荷蘭號(hào)碼更是不到15秒便能成功破解。

值得注意的是，此次攻擊的前提是攻擊者需要事先獲取目標(biāo)的電子郵箱地址。盡管谷歌去年已將郵箱設(shè)為隱藏，但BruteCat指出，攻擊者無(wú)需與目標(biāo)進(jìn)行直接互動(dòng)，便能通過(guò)創(chuàng)建并轉(zhuǎn)移Looker Studio文檔的所有權(quán)至目標(biāo)Gmail地址，從而獲取目標(biāo)的顯示名稱(chēng)。

更令人擔(dān)憂的是，攻擊者還可以利用谷歌賬戶(hù)恢復(fù)流程中顯示的部分恢復(fù)號(hào)碼數(shù)字（如2位），結(jié)合其他服務(wù)（如PayPal）的密碼重置提示，進(jìn)一步縮小手機(jī)號(hào)碼的猜測(cè)范圍。BruteCat還附上了一段演示視頻，詳細(xì)展示了攻擊過(guò)程。

BruteCat于2025年4月14日通過(guò)谷歌漏洞獎(jiǎng)勵(lì)計(jì)劃（VRP）報(bào)告了這一問(wèn)題。起初，谷歌評(píng)估認(rèn)為該漏洞風(fēng)險(xiǎn)較低，但隨后在5月22日將其升級(jí)為“中等嚴(yán)重”級(jí)別，并向BruteCat支付了5000美元的獎(jiǎng)勵(lì)。

谷歌方面在6月6日確認(rèn)，已完全廢棄了存在漏洞的端點(diǎn)，使得原有的攻擊路徑不再可行。然而，關(guān)于該漏洞是否曾被惡意利用，目前仍不得而知。