Korkutucu Google açığı kısa sürede kapatıldı

Brutecat takma isimli bağımsız güvenlik araştırmacısı, neredeyse tüm Google hesaplarını ele geçiren yüksek riskli bir açık keşfetti.

Bu açık kullanıcıların telefonlarına herhangi bir bildirim gelmemesini sağlayarak, hesaba erişim sağlıyordu. Brutecat durumu bildirdi ve teknoloji devi söz konusu tehlikeyi kısa süre içinde ortadan kaldırdı.

Araştırmacının bulduğu zafiyet, hesap kurtarma sistemindeki bir zayıflıktan kaynaklanıyor ve birkaç aşamalı bir saldırı zinciriyle işliyor. Önce hedef hesabın tam adı ortaya çıkarılıyor, ardından Google’ın otomatik saldırılara karşı koymak için geliştirdiği koruma sistemi aşılıyor.

Böylece saldırgan, olası telefon numarası kombinasyonlarını hızla deneyip doğru kurtarma numarasını bulabiliyor. Testlerde bir hesabın kurtarma telefonuna 20 dakika içinde erişilebildiği görüldü.

Haberlerimizi Google'da takip edin

En güncel haberlere ve son dakika gelişmelerine Google üzerinden anında ulaşmak için bizi favorilerinize ekleyin.

Google’da tercih edilen kaynak olarak ekleyin

Uzmanlar bu tür telefon numarası açıklarının, hesap ele geçirmede siber suçluların işini kolaylaştırabileceğini söyledi. SIM değiştirme saldırısıyla ele edilen bir telefon numarası, hesaba gönderilen şifre sıfırlama kodlarını almak için kullanılabiliyor.

Google sözcülerinden Kimberly Samra, sorunun çözüldüğünü ve şu ana kadar herhangi bir kötüye kullanımın teyit edilmediğini açıkladı. Ayrıca şirket, güvenlik araştırmacılarına ödül programı kapsamında Brutecat’e 5000 dolar ödül verdi.