Uma vulnerabilidade permitiu que pesquisadores fizessem brute-force no número de telefone de recuperação de qualquer conta do Google simplesmente conhecendo o nome de perfil do usuário e um número de telefone parcial facilmente recuperável, criando um risco massivo para ataques de phishing e SIM-swapping.
O método de ataque envolve abusar de uma versão agora descontinuada do formulário de recuperação de nome de usuário do Google que tinha o JavaScript desabilitado, o qual carecia das modernas proteções contra abuso.
A falha foi descoberta pelo pesquisador de segurança BruteCat, o mesmo que demonstrou em fevereiro ser possível expor os endereços de email privados das contas do YouTube.
BruteCat informou que, enquanto o ataque recupera o número de telefone configurado para a recuperação da conta do Google, na vasta maioria dos casos, este é o mesmo número de telefone primário do titular da conta.
BruteCat descobriu que ele poderia acessar um formulário legado de recuperação de nome de usuário sem JavaScript, que parecia funcionar como esperado.
O formulário permitia questionar se um número de telefone estava associado a uma conta do Google com base no nome de exibição de perfil de um usuário ("John Smith") por meio de duas solicitações POST.
O pesquisador contornou as defesas rudimentares de limitação de taxa no formulário usando a rotação de endereços IPv6 para gerar trilhões de IPs de origem únicos via sub-redes /64 para essas solicitações.
Os CAPTCHAs exibidos por muitas solicitações foram contornados substituindo o parâmetro 'bgresponse=js_disabled' por um token BotGuard válido do formulário com JS habilitado.
Com a técnica estabelecida, BruteCat desenvolveu uma ferramenta de brute-force (gpb) que itera através de faixas de números usando formatos específicos de país e filtra falsos positivos.
O pesquisador usou o 'libphonenumber' do Google para gerar formatos de número válidos, construiu um banco de dados de máscara de país para identificar formatos de telefone por região e escreveu um script para gerar tokens BotGuard via Chrome headless.
Com uma taxa de brute-force de 40.000 solicitações por segundo, números dos EUA levariam cerca de 20 minutos, do Reino Unido 4 minutos, e dos Países Baixos menos de 15 segundos.
Para iniciar um ataque contra alguém, seu endereço de email é necessário para o formulário, mas o Google definiu isso como oculto desde o ano passado.
BruteCat descobriu que poderia recuperá-lo criando um documento do Looker Studio e transferindo a propriedade para o endereço de Gmail do alvo.
Uma vez que a propriedade é transferida, o nome de exibição do Google do alvo aparece no painel do Looker Studio do criador do documento, não exigindo nenhuma interação com o alvo.
Armado com este endereço de email, eles poderiam realizar consultas repetidas para determinar todos os números de telefone associados ao nome de perfil.
No entanto, como pode haver milhares de contas com o mesmo nome de perfil, o pesquisador o reduziu usando o número parcial do alvo.
Para obter um número de telefone parcial do usuário, o pesquisador utilizou o workflow de "recuperação de conta" do Google, que exibirá dois dígitos de um número de telefone de recuperação configurado.
"Esse tempo também pode ser significativamente reduzido através de dicas de números de telefone de fluxos de reset de senha em outros serviços como o PayPal, que fornecem vários dígitos a mais (ex.
+14•••••1779)", explica BruteCat.
O vazamento de números de telefone associados a uma conta do Google pode causar um risco de segurança massivo para os usuários, que então podem ser alvos de ataques de vishing direcionados ou ataques de troca de SIM.
Uma demonstração de exploração dessa falha pode ser vista no vídeo abaixo.
BruteCat reportou suas descobertas ao Google por meio do Vulnerability Reward Program (VRP) da gigante da tecnologia em 14 de abril de 2025.
Inicialmente, o Google considerou o risco de explorabilidade baixo, mas em 22 de maio de 2025, elevou a questão para "gravidade média", aplicando mitigações provisórias e pagando ao pesquisador uma recompensa de $5.000 pela divulgação.
Em 6 de junho de 2025, o Google confirmou que havia descontinuado completamente o ponto de recuperação vulnerável sem JS.
O vetor de ataque não é mais explorável, mas se ele foi ou não explorado maliciosamente permanece desconhecido.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...