6月10日消息，网络安全专家BruteCat近日披露了一项新的安全漏洞，通过利用谷歌已废弃的用户名恢复表单，攻击者仅凭借用户的谷歌个人资料名称以及部分手机号码，就能成功暴力破解出该账户的恢复手机号码。

据悉，BruteCat发现的这个已废弃的无JavaScript版本谷歌用户名恢复表单，由于缺乏现代防护机制，存在较大安全隐患。攻击者只要知道用户的个人资料显示名称（如“李明”），就能通过发送两个POST请求，对与谷歌账户关联的手机号码展开查询。

为了绕过表单的速率限制，BruteCat采用了IPv6地址轮转技术。通过这种技术，能够生成大量唯一的IP地址，从而轻松突破表单简单的速率限制措施。同时，他还利用替换参数以及获取有效BotGuard令牌的方法，成功避开了CAPTCHA验证。

基于上述一系列操作，BruteCat开发出一款名为“gpb”的暴力破解工具。该工具的请求速度高达每秒40000次，在破解手机号码方面效率惊人。比如，破解美国号码大约需要20分钟，英国号码仅需4分钟，荷兰号码用时不到15秒，而新加坡号码更是最快5秒就能破解成功。

【IP查询：https://www.ipdatacloud.com/?utm-source=LMN&utm-keyword=?2082】

不过，要实施这样的攻击，攻击者首先需要获取目标的电子邮箱地址。尽管谷歌在去年已经将邮箱设置为隐藏状态，但BruteCat指出，攻击者无需与目标进行任何互动，通过创建LookerStudio文档并将其所有权转移至目标的Gmail地址，就能获取目标的显示名称。此外，利用谷歌账户恢复流程中显示的部分恢复号码数字，再结合其他服务的密码重置提示，攻击者能够进一步缩小猜测手机号码的范围。

BruteCat在2025年4月14日，通过谷歌漏洞奖励计划报告了这一问题。起初，谷歌评估该问题的风险较低，然而到了5月22日，谷歌将其风险等级提升为“中等严重”，并向BruteCat支付了5000美元的奖励。

6月6日，谷歌确认已彻底废弃存在漏洞的端点，至此该攻击路径不再可行。不过，目前尚不清楚在此之前该漏洞是否已被恶意利用。对于广大谷歌用户而言，虽然漏洞已修复，但仍需时刻保持警惕，注意保护个人账号信息安全。

来源：IT之家