Google-Schwachstelle: So leicht waren Telefonnummern zu stehlen
Ein Sicherheitsforscher hat in Google-Konten eine kritische Schwachstelle entdeckt, die private Telefonnummern preisgab. Durch einen raffinierten Brute-Force-Angriff hätten Hacker in wenigen Minuten Zugriff erlangen können.
Die Lücke wurde von einem Sicherheitsexperten namens "BruteCat" aufgedeckt, der bereits im Februar 2025 demonstriert hatte, dass es möglich ist, private E-Mail-Adressen von YouTube-Konten offenzulegen. Die Angriffsmethode nutzte eine inzwischen deaktivierte JavaScript-freie Version des Google-Kontowiederherstellungsformulars, dem moderne Schutzmechanismen gegen Missbrauch fehlten.
Wie 404 Media und Wired berichten, basierte der Exploit nicht auf einer einzelnen Schwachstelle, sondern auf einer ausgeklügelten "Angriffskette" mehrerer Prozesse. Laut BruteCat begann alles mit der Beobachtung, dass Googles Wiederherstellungsformular für Kontonamen auch ohne JavaScript funktionierte - ein Überbleibsel aus früheren Zeiten, als Webseiten noch ohne diese Technologie auskommen mussten.
Der Exploit bestand aus mehreren ineinander greifenden Einzelschritten: Zunächst wurde der vollständige Anzeigename eines Zielkontos ermittelt, dann ein Anti-Bot-Schutzmechanismus umgangen, den Google implementiert hatte, um das massenhafte Versenden von Passwort-Reset-Anfragen zu verhindern. Durch die Umgehung des Ratelimits konnte der Forscher innerhalb kurzer Zeit alle möglichen Kombinationen einer Telefonnummer durchprobieren und die richtigen Ziffern ermitteln.
Durch Automatisierung dieser Angriffskette mit einem Skript war es möglich, die Wiederherstellungstelefonnummer eines Google-Kontobesitzers in 20 Minuten oder weniger zu ermitteln - je nach Länge der Telefonnummer. Bei einer Bruder-force-Rate von 40.000 Anfragen pro Sekunde hätte es für US-Nummern etwa 20 Minuten, für britische Nummern vier Minuten und für niederländische Nummern weniger als 15 Sekunden gedauert.
Auf YouTube ansehen
Um einen Angriff gegen jemanden zu starten, wurde dessen E-Mail-Adresse benötigt. BruteCat fand heraus, dass er diese abrufen konnte, indem er ein Looker-Studio-Dokument erstellte und den Besitz auf die Gmail-Adresse des Ziels übertrug - eine weitere Schwachstelle in Googles Ökosystem, die den Angriff erst ermöglichte.
"Ich denke, dieser Exploit ist ziemlich schlimm, da er praktisch eine Goldgrube für SIM-Swapper ist", sagte BruteCat zu seiner Methode. SIM-Swapper sind Hacker, die die Telefonnummer eines Ziels übernehmen, um deren Anrufe und Textnachrichten zu empfangen, was ihnen wiederum den Zugang zu allen möglichen Konten ermöglichen kann.
Die Offenlegung der privaten Wiederherstellungstelefonnummer kann selbst anonyme Google-Konten für gezielte Angriffe wie Übernahmeversuche anfällig machen. Die Identifizierung einer privaten Telefonnummer, die mit dem Google-Konto einer Person verknüpft ist, könnte es versierten Hackern erleichtern, die Kontrolle über diese Telefonnummer durch einen SIM-Swap-Angriff zu übernehmen. Mit der Kontrolle über diese Telefonnummer kann der Angreifer das Passwort jedes mit dieser Telefonnummer verknüpften Kontos zurücksetzen.
Besonders problematisch ist, dass viele Nutzer ihre Telefonnummer als primäre Wiederherstellungsmethode für verschiedene Online-Dienste verwenden. Ein erfolgreicher Angriff könnte somit eine Kettenreaktion auslösen, bei der Hacker Zugriff auf E-Mail-Konten, soziale Netzwerke, Bankkonten und andere sensible Dienste erlangen.
BruteCat meldete die Schwachstelle am 14. April 2025 an Google, woraufhin das Unternehmen sie bereits am nächsten Tag prüfte. Im Mai bestätigte Google, dass man entsprechende Gegenmaßnahmen eingeleitet habe.
Am 6. Juni 2025 bestätigte Google, dass der anfällige No-JS-Wiederherstellungsendpunkt vollständig deaktiviert wurde. Der Angriffsvektor ist nicht mehr ausnutzbar, aber ob er jemals böswillig ausgenutzt wurde, bleibt unbekannt. Google führt keine detaillierten Logs über solche Angriffe, was die Bewertung des tatsächlichen Schadens erschwert.
Was haltet ihr von dieser Sicherheitslücke? Nutzt ihr zusätzliche Sicherheitsmaßnahmen wie einen Hardware-Schlüssel für eure Google-Konten? Teilt eure Erfahrungen und Meinungen in den Kommentaren mit!
Siehe auch:
Schwerwiegende Lücke bei Google gestopft
Ein unabhängiger Sicherheitsforscher hat eine gravierende Sicherheitslücke in Googles Kontoverwaltung entdeckt, die es ermöglichte, die privaten Telefonnummern von Google-Nutzern ohne deren Wissen auszulesen. Die mittlerweile behobene Schwachstelle stellte ein erhebliches Datenschutzproblem dar, da selbst Angreifer mit relativ geringen Ressourcen durch Brute-Force-Methoden an persönliche Informationen gelangen konnten.Die Lücke wurde von einem Sicherheitsexperten namens "BruteCat" aufgedeckt, der bereits im Februar 2025 demonstriert hatte, dass es möglich ist, private E-Mail-Adressen von YouTube-Konten offenzulegen. Die Angriffsmethode nutzte eine inzwischen deaktivierte JavaScript-freie Version des Google-Kontowiederherstellungsformulars, dem moderne Schutzmechanismen gegen Missbrauch fehlten.
Wie 404 Media und Wired berichten, basierte der Exploit nicht auf einer einzelnen Schwachstelle, sondern auf einer ausgeklügelten "Angriffskette" mehrerer Prozesse. Laut BruteCat begann alles mit der Beobachtung, dass Googles Wiederherstellungsformular für Kontonamen auch ohne JavaScript funktionierte - ein Überbleibsel aus früheren Zeiten, als Webseiten noch ohne diese Technologie auskommen mussten.
Der Exploit bestand aus mehreren ineinander greifenden Einzelschritten: Zunächst wurde der vollständige Anzeigename eines Zielkontos ermittelt, dann ein Anti-Bot-Schutzmechanismus umgangen, den Google implementiert hatte, um das massenhafte Versenden von Passwort-Reset-Anfragen zu verhindern. Durch die Umgehung des Ratelimits konnte der Forscher innerhalb kurzer Zeit alle möglichen Kombinationen einer Telefonnummer durchprobieren und die richtigen Ziffern ermitteln.
Durch Automatisierung dieser Angriffskette mit einem Skript war es möglich, die Wiederherstellungstelefonnummer eines Google-Kontobesitzers in 20 Minuten oder weniger zu ermitteln - je nach Länge der Telefonnummer. Bei einer Bruder-force-Rate von 40.000 Anfragen pro Sekunde hätte es für US-Nummern etwa 20 Minuten, für britische Nummern vier Minuten und für niederländische Nummern weniger als 15 Sekunden gedauert.
Auf YouTube ansehenUm einen Angriff gegen jemanden zu starten, wurde dessen E-Mail-Adresse benötigt. BruteCat fand heraus, dass er diese abrufen konnte, indem er ein Looker-Studio-Dokument erstellte und den Besitz auf die Gmail-Adresse des Ziels übertrug - eine weitere Schwachstelle in Googles Ökosystem, die den Angriff erst ermöglichte.
"Ich denke, dieser Exploit ist ziemlich schlimm, da er praktisch eine Goldgrube für SIM-Swapper ist", sagte BruteCat zu seiner Methode. SIM-Swapper sind Hacker, die die Telefonnummer eines Ziels übernehmen, um deren Anrufe und Textnachrichten zu empfangen, was ihnen wiederum den Zugang zu allen möglichen Konten ermöglichen kann.
Die Offenlegung der privaten Wiederherstellungstelefonnummer kann selbst anonyme Google-Konten für gezielte Angriffe wie Übernahmeversuche anfällig machen. Die Identifizierung einer privaten Telefonnummer, die mit dem Google-Konto einer Person verknüpft ist, könnte es versierten Hackern erleichtern, die Kontrolle über diese Telefonnummer durch einen SIM-Swap-Angriff zu übernehmen. Mit der Kontrolle über diese Telefonnummer kann der Angreifer das Passwort jedes mit dieser Telefonnummer verknüpften Kontos zurücksetzen.
Besonders problematisch ist, dass viele Nutzer ihre Telefonnummer als primäre Wiederherstellungsmethode für verschiedene Online-Dienste verwenden. Ein erfolgreicher Angriff könnte somit eine Kettenreaktion auslösen, bei der Hacker Zugriff auf E-Mail-Konten, soziale Netzwerke, Bankkonten und andere sensible Dienste erlangen.
BruteCat meldete die Schwachstelle am 14. April 2025 an Google, woraufhin das Unternehmen sie bereits am nächsten Tag prüfte. Im Mai bestätigte Google, dass man entsprechende Gegenmaßnahmen eingeleitet habe.
Am 6. Juni 2025 bestätigte Google, dass der anfällige No-JS-Wiederherstellungsendpunkt vollständig deaktiviert wurde. Der Angriffsvektor ist nicht mehr ausnutzbar, aber ob er jemals böswillig ausgenutzt wurde, bleibt unbekannt. Google führt keine detaillierten Logs über solche Angriffe, was die Bewertung des tatsächlichen Schadens erschwert.
Was haltet ihr von dieser Sicherheitslücke? Nutzt ihr zusätzliche Sicherheitsmaßnahmen wie einen Hardware-Schlüssel für eure Google-Konten? Teilt eure Erfahrungen und Meinungen in den Kommentaren mit!
Zusammenfassung
- Sicherheitsforscher entdeckte kritische Schwachstelle in Google-Konten
- Privat hinterlegte Telefonnummern konnten ausgelesen werden
- Exploit nutzte JavaScript-freie Version des Wiederherstellungsformulars
- Brute-Force-Angriff ermöglichte Ermittlung von Telefonnummern in Minuten
- Besonders gefährlich für potenzielle SIM-Swapping-Angriffe auf Nutzer
- Schwachstelle wurde am 14. April 2025 an Google gemeldet
- Google hat die Sicherheitslücke mittlerweile vollständig geschlossen
Siehe auch:
- Ukraine hackt Bomberbauer Tupolew, erbeutet Gigabytes an Daten
- Cozy Bear & Co.: Hacker-Gruppen sollen einheitliche Namen bekommen
- Hackerangriff auf Plattform X - nun will Musk wieder mehr Chef spielen
- Hacker leaken Kanye West-Album, Profit bekommt Holocaust-Museum
- Hacker knackt App von VW: Einfacher Zugriff auf fremde Autos (Update)
Thema:
Neueste Downloads
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen