谷歌修复幽灵漏洞：你的手机号是如何被泄露的？

一个已被修复的漏洞，揭示了攻击者如何在用户毫无察觉的情况下，获取与谷歌账户绑定的手机号码。

核心风险：手机号泄露的“多米诺骨牌”效应

你可能会问：只是泄露个手机号，有那么可怕吗？答案是：非常可怕。这可能触发一种名为“SIM卡交换攻击”的灾难性后果。

攻击者拿到你的姓名和手机号后，会伪造你的身份证明，向运营商谎称“手机卡丢失”，要求补办一张新的SIM卡。一旦得手，你的手机卡便会失效，而他们手里的新卡将能接收你所有的短信，包括银行、微信、支付宝等关键应用的短信验证码。接下来，他们就可以重置你的密码，盗取你的资金，接管你的社交网络。

揭秘：三步走，“完美”的攻击链条

安全研究员BruteCat向我们展示了这条令人惊叹的攻击链，它利用了谷歌系统中一个被遗忘的角落。

第一步：零交互获取你的“谷歌大名”

攻击的起点，是“零交互”获取目标的谷歌个人资料名称。研究员利用了 Google Looker Studio，只需创建一个文档，将所有权转让给目标的Gmail地址。无需目标进行任何操作，其个人资料名称就会自动显示在攻击者的仪表盘上。

第二步：利用“幽灵”接口暴力破解

接下来，攻击者将目光锁定在一个已弃用的、禁用了JavaScript的旧版“用户名恢复”接口上。这个缺乏现代安全防护的“后门”成为关键突破口。

• 绕过速率限制：
  
   攻击者利用IPv6的/64子网，这使其拥有了近乎无限的IP地址库(超过1800亿亿个)，可以为每次请求更换IP，从而让请求频率限制失效。
• 绕过验证码(CAPTCHA)：
  
   他们从新版接口获取一个有效的BotGuard令牌，然后在旧接口的请求中替换掉bgresponse=js_disabled参数，成功骗过真人验证机制。

借助这些技术，攻击者能以每秒数万次请求的惊人速度进行暴力破解，破解一个美国地区的号码仅需约20分钟。

第三步：利用“线索”精确定位

为了进一步提升效率，攻击者还会利用谷歌官方“账户恢复”流程中主动泄露的手机号最后两位数，或者PayPal等其他服务中泄露的更多位数，作为“线索”，极大地缩小了暴力破解的范围。

攻防博弈与启示

当研究员在4月14日报告此漏洞时，谷歌最初认为其风险“较低”。但在研究员展示了完整的自动化攻击链后，谷歌重新评估，于5月22日将其升级为“中等严重”，并支付了$5,000美元奖金。最终在6月6日，这个脆弱的旧接口被彻底下线。

这起事件告诉我们，系统中任何一个被遗忘的、防护薄弱的“遗留资产”，都可能成为整个安全大厦的蚁穴。

漏洞虽已修复，我们能做什么？

虽然此特定漏洞已不复存在，但我们仍应举一反三，加强个人账户安全：

1. 开启二次验证（2FA）：
   
    强烈建议使用基于应用的验证器（如Google Authenticator）或物理安全密钥（YubiKey），而不是单纯依赖短信验证码。
2. 定期进行安全检查：
   
    前往谷歌的“安全检查”页面，查看哪些应用有权访问您的账户信息，移除不必要的授权。
3. 警惕个人信息泄露：
   
    不要在不信任的网站上随意绑定您的谷歌账户或填写手机号码。
4. 关注账户异常活动：
   
    定期检查谷歌账户的登录历史和活动记录，发现异常立即修改密码。

原文始发于微信公众号（技术修道场）：谷歌修复“幽灵”漏洞：你的手机号是如何被泄露的？