Google ได้แก้ไขช่องโหว่ด้านความปลอดภัยที่สำคัญ ซึ่งอาจทำให้ข้อมูลเบอร์โทรศัพท์ที่ผูกกับบัญชีผู้ใช้รั่วไหลได้ โดยช่องโหว่นี้เปิดโอกาสให้ผู้ไม่หวังดีสามารถใช้เทคนิค Brute-force เพื่อค้นหาเบอร์โทรศัพท์สำหรับกู้คืนบัญชี Google ได้ เพียงแค่ทราบชื่อโปรไฟล์และหมายเลขโทรศัพท์บางส่วนที่สามารถหามาได้ง่าย
ซึ่งนับเป็นความเสี่ยงมหาศาลต่อการโจมตีแบบฟิชชิง (Phishing) และ SIM Swap โดยวิธีการโจมตีดังกล่าวอาศัยการใช้ประโยชน์จากฟอร์มกู้คืนชื่อผู้ใช้ Google เวอร์ชันเก่าที่ไม่มี JavaScript ซึ่งขาดการป้องกันการโจมตีสมัยใหม่ และถูกยกเลิกการใช้งานไปแล้วในปัจจุบัน ช่องโหว่นี้ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยนามว่า BruteCat ซึ่งเป็นคนเดียวกับที่เคยแสดงให้เห็นถึงความเป็นไปได้ในการเปิดเผยที่อยู่อีเมลส่วนตัวของบัญชี YouTube เมื่อเดือนกุมภาพันธ์ที่ผ่านมา
BruteCat ได้อธิบายว่า แม้การโจมตีนี้จะดึงหมายเลขโทรศัพท์ที่ผู้ใช้ตั้งค่าไว้สำหรับการกู้คืนบัญชี Google แต่ในกรณีส่วนใหญ่ หมายเลขดังกล่าวก็คือหมายเลขโทรศัพท์หลักของผู้ใช้งานนั่นเอง นักวิจัยพบว่าเขาสามารถเข้าถึงฟอร์มกู้คืนชื่อผู้ใช้แบบไม่มี JavaScript ซึ่งดูเหมือนจะทำงานได้ตามปกติ ฟอร์มดังกล่าวอนุญาตให้สอบถามว่าหมายเลขโทรศัพท์มีการเชื่อมโยงกับบัญชี Google หรือไม่ โดยอ้างอิงจากชื่อโปรไฟล์ที่แสดงของผู้ใช้ (เช่น “John Smith”) ผ่านคำขอ POST สองรายการ BruteCat ได้หลีกเลี่ยงการป้องกันการจำกัดจำนวนคำขอแบบพื้นฐานบนฟอร์มนี้ โดยใช้การหมุนเวียนที่อยู่ IPv6 เพื่อสร้าง IP ต้นทางที่ไม่ซ้ำกันจำนวนมหาศาลผ่านซับเน็ต /64 สำหรับคำขอเหล่านี้ รวมถึงการข้าม CAPTCHA โดยการแทนที่พารามิเตอร์ ‘bgresponse=js_disabled’ ด้วยโทเค็น BotGuard ที่ถูกต้องจากฟอร์มที่เปิดใช้งาน JS ด้วยเทคนิคเหล่านี้ BruteCat จึงพัฒนาเครื่องมือ Brute-force (gpb) ที่สามารถวนซ้ำช่วงตัวเลขโดยใช้รูปแบบเฉพาะประเทศและกรองผลลัพธ์ที่ผิดพลาดออกไป
นักวิจัยได้รายงานการค้นพบของเขาต่อ Google ผ่านโครงการ Vulnerability Reward Program (VRP) ของบริษัทเมื่อวันที่ 14 เมษายน 2025 ในตอนแรก Google พิจารณาว่าความเสี่ยงในการถูกโจมตีอยู่ในระดับต่ำ แต่เมื่อวันที่ 22 พฤษภาคม 2025 บริษัทได้ยกระดับปัญหานี้เป็น “ความรุนแรงปานกลาง” พร้อมใช้มาตรการบรรเทาผลกระทบชั่วคราวและจ่ายเงินรางวัลให้แก่นักวิจัย 5,000 ดอลลาร์สหรัฐฯ สำหรับการเปิดเผยดังกล่าว และเมื่อวันที่ 6 มิถุนายน 2025 Google ได้ยืนยันว่าได้ยกเลิกการใช้งาน endpoint การกู้คืนแบบไม่มี JS ที่มีช่องโหว่นี้อย่างสมบูรณ์แล้ว ซึ่งหมายความว่าช่องทางการโจมตีนี้ไม่สามารถใช้ได้อีกต่อไป อย่างไรก็ตาม ยังไม่เป็นที่ทราบแน่ชัดว่าเคยมีการนำช่องโหว่นี้ไปใช้ในการโจมตีจริงหรือไม่ ซึ่งการแก้ไขนี้ช่วยปกป้องผู้ใช้งานจากความเสี่ยงที่ข้อมูลเบอร์โทรศัพท์จะรั่วไหลและถูกนำไปใช้ในการโจมตีทางไซเบอร์ที่มุ่งเป้าต่อไปได้เป็นอย่างดี
ที่มา : thaicert / วันที่เผยแพร่ 12 มิถุนายน 2568
Link :https://www.thaicert.or.th/2025/06/12/google-อุดช่องโหว่ร้ายแรงที่/
