Dieser Google-Bug hätte Millionen Telefonnummern offenlegen können

News

Ein Sicherheitsforscher hat eine kritische Schwachstelle bei Google entdeckt: Über eine komplexe Angriffskette ließ sich die private Wiederherstellungsnummer fast jedes Accounts knacken.

Von Noëlle Bölling

09.06.2025, 20:53 Uhr • 1 Min.

Dieser Google-Bug hätte Millionen Telefonnummern offenlegen können — Dieser Bug hätte für Google fatale Folgen haben können. (Bild: tete _escape/Shutterstock)

Ein unabhängiger Sicherheitsforscher hat eine schwerwiegende Schwachstelle im Account-Wiederherstellungsprozess von Google entdeckt. Wie Techcrunch berichtet, war es durch das Leck möglich, die private Wiederherstellungsnummer fast jedes Google-Accounts herauszufinden, ohne dass die betroffene Person davon erfuhr.

White-Hat-Hacker:innen als Frühwarnsystem

Der unter dem Pseudonym Brutecat aktive Sicherheitsforscher stieß schon im April auf ein Zusammenspiel mehrerer einzelner Schwachstellen, die sich zu einer gefährlichen Angriffskette zusammenfügen ließen. Auf seinem Blog erklärte er, dass die Lücke unter anderem die Möglichkeit ausnutzte, den vollständigen Anzeigenamen eines Google-Kontos zu ermitteln, und umging Googles Anti-Bot-Maßnahmen für Passwort-Reset-Anfragen. Mithilfe eines automatisierten Skripts war es möglich, die richtige Wiederherstellungsnummer abhängig von deren Länge in unter 20 Minuten zu ermitteln.

Derartige Angriffe sind vor allem deshalb problematisch, weil sie auch anonyme Google-Accounts enttarnen und neue Angriffsflächen eröffnen. Mit der Wiederherstellungsnummer können Hacker:innen beispielsweise SIM-Swap-Angriffe durchführen. Dabei wird die Telefonnummer auf eine andere SIM-Karte übertragen, um anschließend Zugriff auf verknüpfte Dienste zu erhalten – etwa durch das Abfangen von Bestätigungs-SMS beim Zurücksetzen von Passwörtern.

Empfehlungen der Redaktion

News

Geheimnisvoller Hacker deckt Cyberkriminelle auf: Warum er auf Millionen verzichtet

News

Wenn die KI entscheidet: Wie Meta die Zukunft der Social-Media-Sicherheit gestalten will

News

Experten zweifeln Sicherheit von Musks neuem XChat an

Google konnte die Lücke rechtzeitig schließen

Der Tech-Konzern wurde im April von Brutecat über das Problem informiert. Angesichts des potenziellen Risikos für die breite Öffentlichkeit erklärte sich Techcrunch bereit, die Meldung zurückzuhalten, bis der Fehler behoben werden konnte. Kimberly Samra, Sprecherin von Google, erklärte dem Tech-Magazin, dass die Lücke inzwischen geschlossen sei, und dankte dem Sicherheitsforscher für seinen Einsatz.

Bisher gebe es keine Hinweise darauf, dass die Schwachstelle aktiv ausgenutzt wurde. Im Rahmen des Vulnerability Rewards Program zahlte Google Brutecat 5.000 US-Dollar als Belohnung. „Beiträge wie dieser sind eine von vielen Möglichkeiten, Probleme schnell zu finden und zu beheben, um die Sicherheit unserer Nutzer:innen zu gewährleisten“, kommentierte Samra.

Mehr zu diesem Thema

MIT Technology Review Google

Verpasse keine News zu Software & Entwicklung 💌

Hinweis zum Newsletter & Datenschutz

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Brands

News

Themen

Magazine

Skills

Podcast

Shop

Jobs

Events