La falla de Google que habría expuesto públicamente los números de teléfono de usuarios sin su consentimiento

Google corrigió una vulnerabilidad en la función de recuperación de cuentas de la compañía que permitía revelar los números de teléfono de los usuarios utilizados para dicha opción sin alertar al propietario, con lo que facilita a actores maliciosos obtener información personal y, por tanto, ejecutar ciberataques dirigidos o robos de identidad.

El fallo, encontrado por un investigador de seguridad independiente llamado Brutecat, se compartió con Google en abril de este año y afecta concretamente a la función de recuperación de cuentas de la compañía, una opción pensada para restablecer el acceso a una cuenta de Google en caso de haber olvidado la contraseña o tener problemas de inicio de sesión.

Así, se trata de un sistema comúnmente utilizado que permite configurar una dirección de correo electrónico alternativa o un número de teléfono para utilizarlos como método para restablecer la contraseña de la cuenta.

Estos datos se almacenan de forma privada para que solo sean utilizados por los usuarios. Sin embargo, la vulnerabilidad encontrada permite obtener el número de teléfono de recuperación de la cuenta sin alertar al titular, mediante un conjunto de procesos entre los que se incluye filtrar el nombre completo del propietario de la cuenta y sortear el mecanismo de protección antibots de Google, utilizado para evitar el spam malicioso de solicitudes de restablecimiento de contraseña.

Según explica Brutecat en su blog, el proceso de investigación comenzó al descubrir que el formulario de recuperación de nombre de usuario de Google continuaba funcionando incluso sin tener activo el lenguaje de codificación JavaScript en el dispositivo, algo necesario desde 2018, ya que se utiliza en las soluciones de protección contra bots de Google, integradas en los formularios de recuperación de cuentas para evitar abusos.

Con ello, este formulario de recuperación permitía comprobar si un correo o número de teléfono estaba asociado con un nombre de usuario específico, utilizando direcciones IPv6 —un identificador numérico asociado a una interfaz de red— y manipulando el token de autenticación de la solución de protección contra bots BotGuard desde el formulario JavaScript.

Además, también consiguió filtrar el nombre de usuario específico a través del servicio para crear informes de Google, Looker Studio. Para ello, bastó con crear un documento en dicha plataforma y transferir su propiedad a la víctima, lo que hace que aparezca el nombre en la página de inicio automáticamente, sin necesidad de que el usuario afectado intervenga.

Con todo, el investigador ha concluido que, al automatizar todos estos procesos en una cadena de ataque, es posible forzar el número de teléfono de recuperación del propietario de una cuenta de Google en alrededor de 20 minutos o incluso menos, dependiendo de la longitud del número de teléfono que haya que averiguar.

Por ejemplo, en el caso de un número de Reino Unido, el investigador ha señalado que consiguió obtener números de teléfono en cuatro minutos y, en el caso de Singapur, el tiempo se reduce a los cinco segundos. En concreto, esta vulnerabilidad permitiría a actores maliciosos obtener datos personales de los usuarios como su nombre y su teléfono, lo que puede incurrir en robos de identidad u otro tipo de ataques dirigidos.

Ahora, Google ha asegurado que ha solucionado este error en su formulario, con lo que ya no es posible extraer los teléfonos móviles desde la función de recuperación de cuentas. Así lo ha trasladado la portavoz de Google, Kiberly Samra, en declaraciones a TechCrunch, quien subrayó la importancia de colaborar con la comunidad de investigadores de seguridad a través de su programa de recompensas por vulnerabilidades.

“Comunicados como este por investigadores son una de las muchas maneras en que podemos encontrar y solucionar rápidamente problemas para la seguridad de nuestros usuarios”, ha sentenciado Samra, al tiempo que ha aseverado que desde Google no han identificado “ningún vínculo directo confirmado con exploits en este momento”.

*Con información de Europa Press.