找回Google密碼功能遭破解！資安研究員三步驟實測結果曝光

根據資安研究員BruteCat的消息指出，他透過無JavaScript模式中忘了關閉的帳戶復原服務，暴力破解並取得Google使用者帳戶的電話號碼。記者孫敬／編譯

根據資安研究員BruteCat的消息指出，他透過無JavaScript模式中忘了關閉的帳戶復原服務，暴力破解並取得Google使用者帳戶的電話號碼。目前這個漏洞已經被修補，主要利用Google老舊的「無JavaScript」使用者名稱復原表單，成功繞過了既有安全防護，導致用戶敏感的個人資訊面臨外洩風險。

這項漏洞的核心，聚焦於Google一款不再啟用JavaScript的舊版使用者名稱復原系統。資安研究人員發現，這個看似已被遺忘的「端點」（即系統入口），竟能被操控來驗證特定電話號碼是否與特定的顯示名稱相關聯，從而為系統性地列舉（即逐一猜測並確認）電話號碼創造了可趁之機。

延伸閱讀：OpenAI資安報告：俄羅斯、中國駭客已深入利用ChatGPT開發惡意軟體

[caption id="attachment_156144" align="aligncenter" width="1200"]

資安研究員三步驟突破Google找回密碼的功能。（圖／科技島圖庫）[/caption]

駭客攻擊手法揭密：IP輪替與憑證重用突破防線

該攻擊手法主要分為三個關鍵步驟：

研究人員能夠繞過Google的速率限制（Rate-limiting）防護，是此攻擊成功的關鍵。他們巧妙地運用了龐大的IPv6位址範圍，得以在每次請求時輪換不同的IP位址，有效規避了Google的濫用防禦機制。此外，研究人員還發現，從啟用JavaScript的表單中獲取的「機器人防護憑證」（botguard tokens），竟能被重複用於「無JavaScript」版本，從而規避了可能阻擋自動化攻擊的驗證碼（CAPTCHA）挑戰。

這項攻擊效率驚人。研究人員僅使用一個每小時成本0.30美元的普通伺服器，便能實現每秒約4萬次的驗證。根據國家代碼的不同，取得完整電話號碼所需的時間也各異：對於新加坡等較小的國家，可能僅需數秒；而對於美國這樣人口眾多、電話號碼組合複雜的國家，則約需20分鐘即可破解。

資安漏洞的啟示與應對：遺留系統成資安盲點

Google於2025年4月14日接獲此漏洞通報後，迅速採取行動。在研擬永久解決方案的同時，公司立即實施了臨時性緩解措施。最終，Google於2025年6月6日全面關閉漏洞所在的「無JavaScript」使用者名稱復原功能。

Google內部高度認可了這項發現的嚴重性。初期，Google向研究人員提供了1337美元的漏洞獎金；但在研究人員爭取，強調此次攻擊「無須任何前提條件」且「無法被偵測」後，Google將獎金提高至5000美元。

資料來源：Cyber Security News

這篇文章 找回Google密碼功能遭破解！資安研究員三步驟實測結果曝光 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。