인기 태그:
가상화 DNS 보안 형식적 검증 도달 가능성 분석 C언어 경제 컴파일러 오류 매크로 충돌 웹 확장 기능 개발 프레임워크 모든 태그

구글 계정 복구 과정의 취약점: IPv6 및 BotGuard 토큰을 이용한 전화번호 무차별 대입 공격

2025-06-09
구글 계정 복구 과정의 취약점: IPv6 및 BotGuard 토큰을 이용한 전화번호 무차별 대입 공격

보안 연구원이 구글 계정 복구 프로세스의 취약점을 발견했습니다. 이 취약점을 통해 공격자는 전화번호 무차별 대입 공격을 수행하여 사용자 계정에 접근할 수 있습니다. 이 취약점은 자바스크립트를 비활성화해도 계정 복구 양식이 작동하는 점을 악용하여 IPv6 주소 순환 및 BotGuard 토큰을 사용하여 구글의 속도 제한과 CAPTCHA를 우회했습니다. 공격자는 먼저 Looker Studio를 통해 대상 사용자의 이름을 얻은 다음, 비밀번호 재설정 흐름을 사용하여 전화번호 접미사를 얻습니다. 그런 다음 사용자 지정 프로그램을 통해 프록시를 사용하여 무차별 대입 공격을 수행하여 전체 전화번호를 밝혀냅니다. 구글은 이 취약점을 이미 수정했습니다.

더 보기
(brutecat.com)
기술

YouTube 심각한 취약점, Pixel Recorder를 통해 사용자 이메일 유출

2025-02-12
YouTube 심각한 취약점, Pixel Recorder를 통해 사용자 이메일 유출

보안 연구원들이 YouTube의 심각한 취약점을 발견했습니다. 이 취약점을 악용하면 Google Pixel Recorder 서비스를 통해 임의의 YouTube 사용자의 이메일 주소를 유출할 수 있습니다. 공격자는 먼저 YouTube의 /get_item_context_menu 엔드포인트를 통해 표적 사용자의 난독화된 Gaia ID를 얻습니다. 그런 다음 Pixel Recorder의 공유 기능을 활용하고 알림 메커니즘을 우회하여 Gaia ID를 이메일 주소로 변환합니다. 이 공격은 복잡한 절차가 필요하지만 영향 범위가 크며, Google로부터 10,500달러의 현상금이 지급되었습니다.

더 보기
(brutecat.com)
기술 YouTube 취약점