谷歌用户账号绑定的电话号码可遭暴力破解

攻击方法涉及滥用现已被废弃的禁用 JavaScript 版本的谷歌用户名恢复表单，该表单缺少现代的反滥用防护措施。该漏洞由安全研究员 BruteCat 发现，他曾在2月份展示了如何泄露 YouTube 账号的个人邮件地址。

BruteCat表示，虽然该攻击检索了为恢复谷歌账号配置的电话号码用户，但在大多数情况下，该电话号码即是账号持有人的主要电话号码。

BruteCat 发现他能够访问一个遗留的禁用JavaScript但按预期运作的用户名恢复表单。他可通过两个POST请求基于用户的资料显示名称（如 “John Smith”），查询某电话号码是否与特定的谷歌账号相关联。

该研究员使用Ipv6 地址变更，通过这些请求的 /64 子网生成了数万亿个唯一的源 IP，绕过了该表单上基本的速率限制防护措施。他通过启用了 JS 表单的一个合法 BotGuard 令牌替代了 “bgresponse=js_disabled” 参数，从而绕过了很多请求中显示的CAPTCHA。

接着，BruteCat 开发了一款暴力破解工具 (gpb)，通过使用特定国家格式的数字范围进行迭代并过滤了误报。他使用谷歌的 “libphonenumber” 生成有效的号码格式，构建了一个国家掩码数据库，按照地区识别电话格式，并编写了一个脚本通过无标头的 Chrome 来生成 BotGuard 令牌。按照每秒暴力破解40000个请求的速度，破解美国号码需要约20分钟、英国4分钟以及荷兰不到15秒。

要攻击某个用户，表单中还需要电子邮件地址，不过谷歌在去年就将其设置为隐藏状态。BruteCat 发现能够通过创建 Looker Studio 文档并将所有权转移到目标的 Gmail 地址的方式进行检索。一旦所有权被转移，该目标的谷歌显示名称就会出现在文档创建人的 Looker Studio 主板中，无需与目标进行任何交互。有了邮件地址，就能够执行重复查询，来判断与用户名关联的所有电话号码。

不过，由于同一个用户名可能有数千个账户，因此BruteCat通过目标的部分电话号码数字将这个范围进行了缩减。为了获得部分电话号码数字，研究员利用了谷歌的“账号恢复”工作流，从而使其显示已配置恢复电话号码的两个数字。

这种泄露与谷歌账号关联电话号码的行为可为用户带来巨大风险，使其易遭钓鱼或者SIM盗刷攻击。

BruteCat 在2025年4月14日通过谷歌的漏洞奖励计划将漏洞报送给谷歌，后者最初认为利用风险低，不过在5月22日将其升级为“中等风险”，应用了暂时的缓解措施并为研究员发放5000美元的赏金。

2025年6月6日，谷歌证实称已经完全废弃了这个易受攻击的无JS的恢复端点。该攻击向量已无法利用，不过是否会遭恶意利用尚无法知晓。