Kritische Sicherheitslücke in Google-Konten führte zur Preisgabe von Telefonnummern der Nutzer

Ein Sicherheitsforscher hat eine kritische Schwachstelle im Google-Kontowiederherstellungssystem identifiziert, die es Angreifern ermöglichen könnte, die Telefonnummern von Google-Nutzern zu erlangen, indem sie einen veralteten Wiederherstellungsmechanismus ausnutzen, der ohne neuere JavaScript-Schutzmechanismen funktionierte.

Wie wurde die Sicherheitslücke ausgenutzt?

Es stellte sich heraus, dass das Formular zur Wiederherstellung des Nutzernamens bei Google mit deaktiviertem JavaScript funktionierte, wodurch moderne Bot-Schutzmaßnahmen umgangen wurden, die seit 2018 für andere Dienste implementiert wurden.

Laut dem Sicherheitsforscher, der das Problem gefunden hat, hätten Angreifer zwei spezifische HTTP-Anfragen verwenden können, mit denen sie überprüfen konnten, ob eine Telefonnummer mit einem bestimmten Google-Konto verknüpft war.

Auch wenn Googles Schutzmaßnahmen IP-basierte Beschränkungen und CAPTCHA-Schutzmaßnahmen umfassen, war es möglich, IPv6-Adressen zu drehen und diese Beschränkungen vollständig zu umgehen.

Angriffsszenario in der realen Welt

Ein Angreifer würde zunächst den Anzeigenamen des Google-Kontos des Opfers ermitteln. Mit Hilfe von Hinweisen aus dem Google-Kontowiederherstellungsprozess, der unvollständige Telefonnummern offenbart, könnten Angreifer die fehlenden Ziffern mit Brute-Force erzwingen.

Die Angreifer könnten zum Brute-Force von Telefonnummern verbrauchergerechte Hardware verwenden, die nur 0,30 US-Dollar pro Stunde kostet. In Ländern mit kleineren Telefonnummernpools, wie Singapur, könnte dies nur wenige Minuten dauern. In größeren Ländern wie den Vereinigten Staaten könnte es 20 Minuten oder mehr dauern.

Mögliche Folgen für die Benutzer

Hätten Angreifer diese Sicherheitslücke zuerst entdeckt, hätte dies zu folgenden Konsequenzen führen können:

• Massive Verletzung der Privatsphäre durch die Preisgabe von persönlichen Telefonnummern, die mit Google-Konten verknüpft sind.
• Erhöhtes Risiko von gezielten Phishing-Angriffen, Betrug und Social-Engineering-Versuchen, da Angreifer persönliche Telefonnummern ausnutzen könnten, um vertrauenswürdig oder bekannt zu erscheinen.
• Mögliche Übernahme von Konten durch Verwendung der Telefonnummern bei weiteren Angriffen zur Wiederherstellung und Überprüfung von Konten.

Die Reaktion von Google

Zunächst zahlte Google dem Forscher ein Kopfgeld von 1.337 US-Dollar, da es unwahrscheinlich war, dass die Sicherheitslücke in großem Umfang ausgenutzt wird. Nachdem Google jedoch die Schwere der Sicherheitslücke und den potenziellen Schaden erkannt hatte, erhöhte es die Belohnung auf 5.000 US-Dollar und beseitigte das Problem schnell, indem es die anfälligen Prozesse bis Juni 2025 vollständig abschaffte.

Was können Nutzer tun?

• Überprüfen und aktualisieren Sie regelmäßig die Sicherheitseinstellungen Ihres Kontos.
• Aktivieren Sie, wo immer möglich, die Zwei-Faktor-Authentifizierung (2FA).
• Seien Sie wachsam und halten Sie Ausschau nach unerwarteten Nachrichten, insbesondere nach solchen, die nach persönlichen oder Kontodaten fragen.