Googleアカウント復旧フローの脆弱性:IPv6とBotGuardトークンを用いた電話番号のブルートフォース攻撃
2025-06-09
セキュリティ研究者は、Googleアカウントの復旧プロセスにおける脆弱性を発見しました。これにより、攻撃者は電話番号のブルートフォース攻撃を行い、ユーザーアカウントへのアクセスを取得できます。この脆弱性は、JavaScriptを無効にしてもアカウント復旧フォームが機能することを悪用し、IPv6アドレスのローテーションとBotGuardトークンを使用して、Googleのレート制限とCAPTCHAを回避していました。攻撃者はまずLooker Studioを使用してターゲットユーザーの名前を取得し、次にパスワードリセットフローを使用して電話番号のサフィックスを取得します。その後、カスタムプログラムを使用してプロキシを介してブルートフォース攻撃を行い、完全な電話番号を明らかにします。Googleはこの脆弱性を修正済みです。
テクノロジー