漏洞可能导致与任意谷歌账户关联的手机号码遭泄露

化名"brutecat"的安全研究员发现，通过滥用谷歌账户恢复功能漏洞，可暴力破解任意谷歌账户关联的手机号码。该漏洞存在于谷歌已停用的无JavaScript支持的用户名找回页面，该版本缺乏防滥用保护机制。

数月前，研究员在浏览器禁用JavaScript测试谷歌服务兼容性时，意外发现用户名找回表单仍可运作。该表单允许用户通过两次HTTP POST请求验证某显示名是否关联特定找回邮箱或手机号：首次请求提交手机号获取唯一ess值，二次请求结合ess值与"John Smith"等显示名，根据跳转至"未找到账户"或"验证"页面判断账户存在性。

研究员证实该无JS支持的废弃表单存在暴力破解可能。初期尝试遭遇速率限制和验证码拦截后，专家计划采用代理与IPv6地址轮换（通过/64子网）突破限制。虽构建出概念验证(PoC)，但数据中心IP始终触发验证码。最终通过从JS版本表单提取BotGuard令牌植入无JS表单，成功破解特定显示名关联的手机号尾号，并采用随机姓氏过滤误报。

攻击者可借此绕过验证码速率限制，以每秒数万次的速度测试手机号组合——根据号码长度，完整号码可在数秒至数分钟内被破解。该漏洞使得攻击者能通过"John Smith"等显示名反查关联的账户找回信息。

构建有效PoC后仍存在两大挑战：获取目标国家代码与显示名。国家代码可通过密码找回页面的隐藏号码格式（利用libphonenumber库模式）推断；显示名虽难获取，但通过向目标转移Looker Studio文档可泄露。获得有效显示名和号码掩码后，结合优化验证与BotGuard令牌的暴力破解工具即可锁定完整号码。

攻击链完整实施流程为：

1. 运行gpb程序，输入显示名和隐藏号码进行暴力破解

2. 通过Looker Studio文档泄露谷歌账户显示名

3. 对该邮箱执行忘记密码流程获取隐藏号码

使用0.3美元/小时的服务器（16 vCPU）可实现每秒约4万次破解。根据谷歌密码提示获取的号码末两位数字推算，完整破解耗时：

• 美国号码：20分钟

• 英国号码：4分钟

• 荷兰号码：15秒

• 新加坡号码：5秒

若其他服务（如PayPal）暴露更多号码位数，破解时间将大幅缩短。以下是事件时间线：

2025-04-14 —— 向厂商提交漏洞报告
2025-04-15 —— 厂商完成报告分级评估
2025-04-25 —— 漏洞确认有效
2025-05-15 —— 安全委员会裁定奖励1,337美元+纪念品。判定理由：漏洞利用可能性较低
该问题被定性为具有高影响力的滥用类漏洞
2025-05-15 —— 申诉奖励理由：根据《滥用漏洞奖励计划》条款，漏洞概率/可利用性应基于攻击所需前置条件及受害者是否可察觉攻击行为。本次攻击无前置条件且受害者无法察觉。
2025-05-22 —— 委员会追加3,663美元奖励。判定理由：感谢对初始奖励的反馈。经充分讨论，现将漏洞可能性上调至"中等"，总奖励调整为5,000美元（含已发送的纪念品兑换码）。期待您的下一次报告。
2025-05-22 —— 厂商确认在全球逐步弃用该接口期间已实施临时缓解措施
2025-05-22 —— 与厂商协商确定披露日期为2025-06-09
2025-06-06 —— 厂商确认无JS版用户名找回表单已全球下线
2025-06-09 —— 漏洞细节公开

原文始发于微信公众号（黑猫安全）：漏洞可能导致与任意谷歌账户关联的手机号码遭泄露