ភាពងាយរងគ្រោះបានអនុញ្ញាតឱ្យអ្នកស្រាវជ្រាវវាយប្រហារ (Brute-force) លើលេខទូរស័ព្ទរបស់គណនី Google ណាមួយ ដោយគ្រាន់តែស្គាល់ឈ្មោះ Profile និងលេខទូរស័ព្ទដែលអាចទាញយកបានដោយងាយ ហើយបង្កើតការវាយប្រហារក្លែងបន្លំ និងផ្លាស់ប្តូរស៊ីម (SIM-swapping)។
វិធីសាស្រ្តវាយប្រហារពាក់ព័ន្ធនឹងការបំពានលើជំនាន់ now-deprecated JavaScript-disabled version របស់ Google Username Recovery Form ដែលខ្វះការការពារប្រឆាំងនឹងការបំពានទំនើប។ បញ្ហានេះត្រូវបានរកឃើញដោយអ្នកស្រាវជ្រាវសុវត្ថិភាព BruteCat ជាមនុស្សតែម្នាក់ ដែលបានបង្ហាញកាលពីខែកុម្ភៈថា វាអាចនឹងមានបញ្ហាបង្ហាញឯកជនភាពអាសយដ្ឋានអ៊ីម៉ែលរបស់គណនី YouTube។
BruteCate បានបន្តថា ខណៈការវាយប្រហារទទួលបានលេខទូរស័ព្ទអ្នកប្រើប្រាស់ដែលបាន Configured សម្រាប់ការស្តារគណនី Google នោះ នេះគឺដូចគ្នានឹងលេខទូរស័ព្ទដំបូងរបស់អ្នកកាន់គណនីអញ្ចឹង។
ការវាយប្រហារលើលេខ Google៖ BruteCat បានរកឃើញថា គាត់អាចដំណើរការទម្រង់ស្តារ No-JavaScript Username ចាស់ ដែលហាក់ដូចជាដំណើរការដូចការរំពឹងទុក។ ទម្រង់នេះបានអនុញ្ញាតឱ្យមាន Querying ប្រសិនបើលេខទូរស័ព្ទមួយមានទំនាក់ទំនងជាមួយគណនី Google ដែលមានមូលដ្ឋានលើ User’s Profile Display Name (“John Smith”) តាមរយៈសំណើ Two POST។ អ្នកស្រាវជ្រាវបានឆ្លងកាត់ការការពារ Rudimentary Rate-limiting នៅលើទម្រង់ដោយប្រើ IPv6 Address Rotation ដើម្បីបង្កើតទ្រីលាននៃប្រភព IPs តាមរយៈ /64 Subnets សម្រាប់សំណើទាំងនេះ។ CAPTCHAs បានបង្ហាញដោយសំណើជាច្រើនត្រូវបានឆ្លងកាត់ដោយការជំនួស ‘bgresponse=js_disabled’ ប៉ារ៉ាម៉ែត្រជាមួយនឹង BotGuard Token ដែលមានសុពលភាពពីទម្រង់ JS-enabled។
ជាមួយនឹងតិចនិកនេះ BruteCat បានអភិវឌ្ឍទៅលើ Brute-forcing Tool (gpb) ដែលធ្វើម្តងទៀតតាមរយៈបណ្តុំលេខ (number ranges) ដោយប្រើទម្រង់ជាក់លាក់របស់ប្រទេស (country-specific formats) និងច្រោះយកវិជ្ជមានដែលមិនពិត (filters false positives)។ អ្នកស្រាវជ្រាវបានប្រើប្រាស់ ‘libphonenumber’ របស់ Google ដើម្បីបង្កើតទម្រង់លេខសុពលភាព បង្កើតមូលដ្ឋានទិន្នន័យ Country mask សម្រាប់កំណត់ទម្រង់លេខទូរស័ព្ទតាមតំបន់ និងសរសេរ Script បង្កើត BotGuard Tokens តាមរយៈ Headless Chrome។ នៅលើអត្រា Brute-forcing នៃសំណើ 40,000 requests ក្នុងមួយវិនាទី លេខអាមេរិកនឹងចំណាយពេលប្រហែល ២០នាទី លេខអង់គ្លេសនឹងចំណាយពេល ៤នាទី និងលេខ Netherlands ចំណាយពេលតិចជាង ១៥វិនាទី។
ដើម្បីចាប់ផ្តើមការវាយប្រហារប្រឆាំងនឹងនរណាម្នាក់ អាសយដ្ឋានអ៊ីម៉ែលរបស់ពួកគេត្រូវបានទាមទារឱ្យមានសម្រាប់ Form ប៉ុន្តែ Google បានបង្កើតរឿងនេះដើម្បីលាក់បាំងតាំងពីឆ្នាំមុន។ BruteCat បានរកឃើញថា គាត់អាចទទួលបានវាដោយការបង្កើត Looker Studio Document និងបញ្ជូន Owership ទៅកាន់អាសយដ្ឋាន Gmail របស់គោលដៅ។ នៅពេលម្ចាស់គណនីត្រូវបានបញ្ជូន ឈ្មោះ Google របស់គោលដៅបង្ហាញនៅលើ Looker Studio Dashboard របស់អ្នកបង្កើតឯកសារ ដោយមិនត្រូវការមានអន្តរាគមន៍ពីគោលដៅនោះទេ។ បំពាក់ជាមួយអាសយដ្ឋានអ៊ីម៉ែលនេះ ពួកគេអាចធ្វើ Queries ដដែលៗ ដើម្បីកំណត់លេខទូរស័ព្ទទាំងអស់ដែលពាក់ព័ន្ធជាមួយឈ្មោះ Profile Name។ ទោះជាយ៉ាងណា ដោយសារអាចមានគណនីរាប់ពាន់ដែលមានឈ្មោះទម្រង់ដូចគ្នា អ្នកស្រាវជ្រាវបានបង្រួមវាដោយប្រើលេខ Partial Number របស់គោលដៅ។
ដើម្បីទទួលបានលេខទូរស័ព្ទ Partial Phone Number របស់អ្នកប្រើប្រាស់ អ្នកស្រាវជ្រាវបានប្រើលំហូរ “ការស្តារគណនី (account recovery)” របស់ Google ដែលនឹងបង្ហាញ២តួនៃលេខទូរស័ព្ទស្តារដែលត្រូវបាន Configured។ BruteCat ពន្យល់ថា ពេលនេះក៏អាចត្រូវបានកាត់បន្ថយការលំបាកខ្លាំងដែរ តាមរយៈការណែនាំអំពីលេខទូរស័ព្ទ (phone number hints) ពីលំហូរកំណត់ឡើងវិញលេខសម្ងាត់នៅក្នុងសេវាផ្សេងទៀតដូចជា PayPal ដែលផ្តល់ឱ្យនូវលេខមួយចំនួនទៀត (ឧ. +14******1779)។ ការលាតត្រដាងរបស់លេខទូរស័ព្ទមានពាក់ព័ន្ធជាមួយនឹងគណនី Google អាចបណ្តាលឱ្យមានហានិភ័យសុវត្ថិភាពដ៏ធំដល់អ្នកប្រើប្រាស់ ដែលអាចក្លាយជាគោលដៅនៅក្នុងការវាយប្រហារតាមទូរស័ព្ទ (Vishing) ឬប្តូរ SIM។
បញ្ហាត្រូវបានដោះស្រាយ៖ BruteCat បានរាយការណ៍ពីការរកឃើញរបស់គាត់ទៅក្រុមហ៊ុន Google តាមរយៈកម្មវិធីផ្តល់រង្វាន់ភាពងាយរងគ្រោះរបស់ក្រុមហ៊ុនបច្ចេកវិទ្យាយក្សមួយនេះ (VRP) កាលពីពាក់កណ្តាលខែមេសា ឆ្នាំ២០២៥។ ដំបូង ក្រុមហ៊ុន Google បានចាត់ទុកថា បញ្ហានេះដូចជាមិនសូវមានគ្រោះថ្នាក់ទេ ប៉ុន្តែមកដល់ថ្ងៃទី២២ ខែឧសភា ឆ្នាំ២០២៥ ក្រុមហ៊ុនបាន Upgrade បញ្ហានេះទៅជា “ធ្ងន់ធ្ងរមធ្យម” ដោយបានអនុវត្តការបន្ធូរបន្ថយបណ្តោះអាសន្ន និងផ្តល់រង្វាន់ដល់អ្នកស្រាវជ្រាវចំនួន ៥,០០០ដុល្លារសម្រាប់ការលាតត្រដាង។ នៅថ្ងៃទី៦ ខែមិថុនា ឆ្នាំ២០២៥ ក្រុមហ៊ុនបានបញ្ជាក់ពីការបញ្ចប់បញ្ហាចំពោះការស្តារ no-JS Recovery Endpoint ទាំងស្រុង ប៉ុន្តែវាមិនច្បាស់ថាតើនៅសល់បញ្ហាដែលអាចត្រូវបានកេងចំណេញដោយមិនទាន់ដឹងនៅឡើយ ឬយ៉ាងណា។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី០៩ ខែមិថុនា ឆ្នាំ២០២៥
