炒股就看金麒麟分析师研报，权威，专业，及时，全面，助您挖掘潜力主题机会！

IT之家 6 月 10 日消息，安全人员BruteCat 昨日发文披露，他通过利用谷歌一项“被遗忘的”账号找回服务功能，成功暴力破解了部分用户的谷歌账号手机号码。

据悉，谷歌早在2018年起就在其账号登录服务中实施了基于JavaScript的机器人检测机制，以阻止不法分子使用自动化脚本进行各类恶意操作。

但BruteCat表示，今年年初他在浏览器中关闭JavaScript，想测试哪些谷歌服务在不启用JavaScript的情况下仍可使用，结果发现平台的账号找回服务仍然可以正常运行，相应服务允许通过两个HTTP请求，验证用户输入的邮箱地址或手机号码是否与特定谷歌账号间存在关联。

尽管谷歌试图通过限制单一IP的访问频率、引入 CAPTCHA 验证码来防范不法分子攻击相应服务，但BruteCat采用 IPv6动态切换地址，同时利用BotGuard的令牌绕过了CAPTCHA，从而完全避开谷歌限制。后续其开发了一段脚本，大致是借助相应密码找回服务流程中所显示的用户账号绑定的手机号码号段提示进行暴力破解。

据BruteCat测试，只需使用“每小时成本约0.3 美元（IT之家注：现汇率约合 2.2 元人民币）”的云服务器，即可实现“每秒4万次暴力破解”，其中破解一个美国电话号码大约只需20分钟，英国号码约4分钟，荷兰号码仅需15秒，而新加坡号码最快仅需5秒即可获取。

BruteCat 表示，他已于今年4月向谷歌方面提交了相关漏洞报告，并获得5000 美元（现汇率约合 35926 元人民币）的漏洞奖励。而谷歌已于今年6月修复了相应漏洞。