Μια σοβαρή ευπάθεια ασφαλείας που επέτρεπε την αποκάλυξη του αριθμού ανάκτησης (recovery phone number) οποιουδήποτε λογαριασμού Google, χωρίς μάλιστα να ειδοποιείται ο κάτοχος, εντοπίστηκε πρόσφατα. Το πρόβλημα ωστόσο έχει ήδη διορθωθεί, όπως επιβεβαίωσε η Google στο TechCrunch.
Πώς ανακαλύφθηκε το κενό ασφαλείας;
Ο ερευνητής ασφαλείας, γνωστός με το ψευδώνυμο brutecat, κατάφερε να εκμεταλλευτεί ένα σφάλμα στη διαδικασία ανάκτησης λογαριασμού της Google. Η επίθεση βασίστηκε σε μια “αλυσίδα” επιμέρους διαδικασιών, οι οποίες, όταν συνδυάστηκαν επέτρεψαν την υποκλοπή του αριθμού κινητού που ήταν συνδεδεμένος με τον λογαριασμό.
Για να το πετύχει αυτό, ο brutecat αρχικά παρέκαμψε τον μηχανισμό anti-bot που είχε εφαρμόσει η Google για να αποτρέπει μαζικά αιτήματα επαναφοράς κωδικού. Με την παράκαμψη του rate limit, ο ερευνητής μπόρεσε να δοκιμάσει όλους τους πιθανούς συνδυασμούς αριθμών σε πολύ σύντομο χρονικό διάστημα, χρησιμοποιώντας αυτοματοποιημένα scripts ώστε να εντοπίσει τον σωστό αριθμό.
Ψηφιακό πορτοφόλι ταυτότητας παντού!
Η επαλήθευση από το TechCrunch και η αντίδραση της Google
Η ομάδα του TechCrunch, στο πλαίσιο της έρευνάς της, δημιούργησε έναν νέο λογαριασμό Google με έναν αριθμό τηλεφώνου που δεν είχε χρησιμοποιηθεί ποτέ ξανά στην πλατφόρμα. Στη συνέχεια, επικοινώνησαν με τον brutecat για να επαληθεύσουν τον ισχυρισμό του ότι μπορούσε όντως να βρει τον αριθμό του κινητού.
Λόγω της ευαίσθητης φύσης του θέματος, το TechCrunch δεν δημοσίευσε άρθρο μέχρι η Google να επιβεβαιώσει ότι το πρόβλημα είχε διορθωθεί.
Η περιστροφή της Γης επιβραδύνεται, έστω και λίγο αλλά δεν θα πιστέψεις από τι!
Κάτι πολύ σημαντικό:
Αν κάποιος σου χακάρει τον λογαριασμό και σου αλλάξει τον αριθμό ανάκτησης, η Google δίνει διορία 7 ημερών και σου επιτρέπει να τον ανακτήσεις και πάλι, με μήνυμα στο παλαιό αριθμό για ένα διάστημα 7 ημερών σύμφωνα με την πολιτική που έχει ανεβάσει και περιγράφει στην επίσημη ιστοσελίδα της.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
Αν δεν εχεις καθολου λογαριασμο google ή αναγκαστικα αν εχεις στο κινητο μονο και μονο για κατεβαζεις καμια εφαρμογη ΕΙΣΑΙ ΟΚ. Τωρα αν εσυ στο κινητο χρησιμοποιεις gmail, facebook, viber, NFC , e-banking, αγορες απο internet ΕΙΣΑΙ ΑΞΙΟΣ ΤΗΣ ΕΠΙΛΟΓΗΣ ΣΟΥ. ΜΗΝ ΠΑΡΑΠΟΝΙΕΣΑΙ ΟΤΙ ΣΕ ΧΑΚΑΡΑΝ ΑΦΟΥ ΤΟ ΚΙΝΗΤΟ ΔΕΝ ΠΑΡΕΧΕΙ ΣΟΒΑΡΗ ΑΣΦΑΛΕΙΑ.