©Unsplash

©Unsplash

Deze kwetsbaarheid bij Google bleek mogelijke goudmijn voor hackers

PRAAT MEE!
  • Dwayne Vrancken
  • Redacteur

Tot een maand of twee geleden konden de meer pientere hackers wel heel gevoelige informatie van Google-klanten buitmaken. Met behulp van een specifiek stukje code konden telefoonnummers gelikt aan Google-accounts onderschept worden. Google heeft de kwetsbaarheid inmiddels verholpen.

Het was een onafhankelijke onderzoeker genaamd ‘bluecat’ die het probleem volgens Wired ontdekte. Door nota bene Nederlandse 06-nummers als uitgangspunt te nemen, lukte het om succesvol en zonder al te veel hulpmiddelen om bij een nummer een naam te vinden. De kwetsbaarheid was echter wereldwijd te misbruiken, al duurde het afhankelijk van de landcode langer om nummers uit bepaalde landen te achterhalen. Zo kostte het een uur om een nummer in de VS te achterhalen, maar waren er slechts zes minuten nodig om een Brits nummer te bemachtigen.

De kwetsbaarheid kwam medio april aan het licht, maar is inmiddels afgedekt door Google. Het lukte om het juiste nummer te vinden door op gigantische snelheid verschillende cijfercombinaties te proberen. Die methode, ook wel brute forcing genoemd, wordt vaak toegepast door hackers bij het vinden van een wachtwoord. Door wat kleine aanpassingen in de code lukt het echter ook om telefoonnummers gelinkt aan specifieke Google-accounts te vinden. Hiervoor had men alleen een Google-schermnaam nodig.

Goudmijn voor SIM-swappers

Die bleek vrij simpel buit te maken met behulp van Google’s Looker-tool. Door het doelwit eigenaar te maken van een aangepast Looker-document met een titel van meer dan een miljoen tekens, bleef een melding van de verandering voor het doelwit uit. Daarna was een stukje zelfgemaakte code genoeg om Google te bestoken met suggesties van nummers en namen. Het was een kwestie van tijd voordat er een ‘hit’ werd gevonden.

De kwetsbaarheid leverde een serieus privacyprobleem op voor Google. Vooral SIM-swappers spinnen garen bij telefoonnummers, die zij kunnen gebruiken om toegang te krijgen tot waardevolle accounts. Door zich voor te doen als hun slachtoffers, proberen de swappers telecomverkeer met een smoes te laten doorverbinden met een simkaart die zij beheren. Zo kan 2-factorbeveiliging omzeild worden, omdat sms-berichten in een dergelijk geval niet langer naar de rechtmatige ontvanger gaan, maar naar de hackers.

Lees meer over Google, of blijf op de hoogte via de Bright Nieuwsbrief.