人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

Googleアカウント復旧フローの脆弱性:IPv6とBotGuardトークンを用いた電話番号のブルートフォース攻撃

2025-06-09
Googleアカウント復旧フローの脆弱性:IPv6とBotGuardトークンを用いた電話番号のブルートフォース攻撃

セキュリティ研究者は、Googleアカウントの復旧プロセスにおける脆弱性を発見しました。これにより、攻撃者は電話番号のブルートフォース攻撃を行い、ユーザーアカウントへのアクセスを取得できます。この脆弱性は、JavaScriptを無効にしてもアカウント復旧フォームが機能することを悪用し、IPv6アドレスのローテーションとBotGuardトークンを使用して、Googleのレート制限とCAPTCHAを回避していました。攻撃者はまずLooker Studioを使用してターゲットユーザーの名前を取得し、次にパスワードリセットフローを使用して電話番号のサフィックスを取得します。その後、カスタムプログラムを使用してプロキシを介してブルートフォース攻撃を行い、完全な電話番号を明らかにします。Googleはこの脆弱性を修正済みです。

続きを読む
(brutecat.com)
テクノロジー

YouTubeの重大な脆弱性、Pixel Recorder経由でユーザーのメールアドレスを漏洩

2025-02-12
YouTubeの重大な脆弱性、Pixel Recorder経由でユーザーのメールアドレスを漏洩

セキュリティ研究者によって、YouTubeの重大な脆弱性が発見されました。この脆弱性を悪用することで、Google Pixel Recorderサービスを利用して、任意のYouTubeユーザーのメールアドレスを漏洩させることが可能です。攻撃者はまず、YouTubeの/get_item_context_menuエンドポイントを通じて、標的ユーザーの難読化されたGaia IDを取得します。その後、Pixel Recorderの共有機能を利用し、通知メカニズムを回避することで、Gaia IDをメールアドレスに変換します。この攻撃は複雑な手順を必要としますが、影響範囲は大きく、Googleから10,500ドルの懸賞金が支払われました。

続きを読む
(brutecat.com)
テクノロジー YouTube脆弱性 プライバシー漏洩