近日，安全研究人員BruteCat揭示了一項(xiàng)針對(duì)谷歌賬號(hào)安全性的重大發(fā)現(xiàn)。他通過(guò)利用谷歌一個(gè)鮮為人知的賬號(hào)找回功能，成功破解了部分用戶的手機(jī)號(hào)碼。

據(jù)悉，自2018年起，谷歌便在其賬號(hào)登錄服務(wù)中引入了基于Java的機(jī)器人檢測(cè)機(jī)制，旨在防止不法分子通過(guò)自動(dòng)化腳本進(jìn)行惡意操作。然而，BruteCat在實(shí)驗(yàn)中發(fā)現(xiàn)，即便關(guān)閉了Java，谷歌的賬號(hào)找回服務(wù)仍能正常使用。這一發(fā)現(xiàn)引發(fā)了他對(duì)該服務(wù)安全性的深入探索。

在探索過(guò)程中，BruteCat發(fā)現(xiàn)，通過(guò)兩個(gè)簡(jiǎn)單的HTTP請(qǐng)求，即可驗(yàn)證用戶輸入的郵箱地址或手機(jī)號(hào)碼是否與特定的谷歌賬號(hào)相關(guān)聯(lián)。這一機(jī)制雖然便捷，卻也為不法分子提供了可乘之機(jī)。

為了防范潛在的攻擊，谷歌采取了多項(xiàng)安全措施，包括限制單一IP的訪問(wèn)頻率和引入CAPTCHA驗(yàn)證碼。然而，BruteCat通過(guò)采用IPv6動(dòng)態(tài)切換地址，并利用BotGuard的令牌成功繞過(guò)了CAPTCHA驗(yàn)證，從而完全規(guī)避了谷歌的限制。在此基礎(chǔ)上，他開(kāi)發(fā)了一段腳本，利用賬號(hào)找回服務(wù)中顯示的手機(jī)號(hào)碼號(hào)段提示，進(jìn)行暴力破解。

據(jù)BruteCat的測(cè)試結(jié)果顯示，利用每小時(shí)成本僅約0.3美元（約合2.2元人民幣）的云服務(wù)器，即可實(shí)現(xiàn)每秒4萬(wàn)次的暴力破解嘗試。其中，破解一個(gè)美國(guó)電話號(hào)碼大約需要20分鐘，英國(guó)號(hào)碼約4分鐘，荷蘭號(hào)碼更是僅需15秒，而新加坡號(hào)碼的破解速度最快，僅需5秒即可成功獲取。

面對(duì)這一嚴(yán)重的安全漏洞，BruteCat在今年4月及時(shí)向谷歌提交了相關(guān)報(bào)告。谷歌對(duì)此表示高度重視，并在今年6月成功修復(fù)了該漏洞。為了表彰BruteCat的貢獻(xiàn)，谷歌還向他頒發(fā)了5000美元（約合35926元人民幣）的漏洞獎(jiǎng)勵(lì)。

此次事件再次提醒我們，網(wǎng)絡(luò)安全問(wèn)題不容忽視。即便是像谷歌這樣的全球科技巨頭，也需要不斷優(yōu)化和完善其安全措施，以應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)安全威脅。同時(shí)，廣大用戶也應(yīng)提高安全意識(shí)，加強(qiáng)賬號(hào)保護(hù)，避免個(gè)人信息泄露。

BruteCat的勇敢揭露和谷歌的及時(shí)響應(yīng)也為我們樹立了榜樣。面對(duì)網(wǎng)絡(luò)安全漏洞，我們應(yīng)勇于揭露、積極應(yīng)對(duì)，共同維護(hù)一個(gè)安全、穩(wěn)定的網(wǎng)絡(luò)環(huán)境。