Google a rezolvat două vulnerabilități care, când sunt combinate, ar putea expune adresele de email ale conturilor de YouTube, provocând o încălcare masivă a confidențialității pentru cei care folosesc site-ul în mod anonim.
Flaw-urile au fost descoperite de cercetătorii de securitate Brutecat (brutecat.com) și Nathan (schizo.org), care au constatat că API-urile YouTube și Pixel Recorder puteau fi folosite pentru a obține ID-urile Google Gaia ale utilizatorilor și pentru a le converti în adresele lor de email.
Capacitatea de a converti un canal YouTube într-o adresă de email a proprietarului reprezintă un risk semnificativ pentru confidențialitate pentru creatorii de conținut, persoanele care trag clopotele, și activiștii care se bazează pe anonimatul online.
Prima parte a lanțului de atac, care a putut fi exploatată timp de luni de zile, a fost descoperită după ce BruteCat a verificat API-ul intern al oamenilor de la Google și a constatat că funcția de „blocare” la nivel de rețea a Google necesită un ID Gaia obfuscat și un nume de afișare.
Un ID Gaia este un identificator intern unic pe care Google îl folosește pentru a gestiona conturile pe toate site-urile sale. Pe măsură ce utilizatorii se înregistrează pentru un singur „Cont Google” care este folosit pe toate site-urile Google, acest ID este același în Gmail, YouTube, Google Drive și alte servicii Google.
Cu toate acestea, acest ID nu este destinat să fie public și este folosit intern pentru a partaja date între sistemele Google.
Jucându-se cu funcția de blocare de pe YouTube, BruteCat a descoperit că atunci când încerca să blocheze pe cineva într-o conversație live, YouTube expunea ID-ul Gaia obfuscat al persoanei vizate într-un răspuns din cererea API-ului /youtube/v1/live_chat/get_item_context_menu.
Răspunsul includea date codate în base64 care, atunci când erau decodezate, conțineau ID-ul Gaia al utilizatorului respectiv.
Cercetătorii au descoperit că, pur și simplu făcând clic pe meniul cu trei puncte într-o conversație, se declanșa o cerere de fundal către API-ul YouTube, permițându-le să acceseze ID-ul fără a fi nevoie să îl blocheze. Prin modificarea apelului API, cercetătorii au obținut ID-ul Gaia al oricărui canal YouTube, inclusiv al celor care încearcă să rămână anonimi.
Înarmat cu ID-ul Gaia, ei doreau acum să găsească o modalitate de a-l converti într-o adresă de email, ceea ce ar fi crescut gravitatea problemei.
Cu toate acestea, API-urile mai vechi care puteau face acest lucru au fost retrase sau nu mai funcționează, așa că BruteCat și Nathan au început să caute servicii Google vechi, depășite care ar putea fi încă exploatate.
După ce au experimentat, Nathan a descoperit că Pixel Recorder are un API web care putea fi folosit pentru a converti ID-ul într-o adresă de email atunci când se partaja o înregistrare.
Acest lucru însemna că odată ce ID-ul Gaia al unui utilizator YouTube era obținut, el putea fi trimis funcției de partajare Pixel Recorder, care returna apoi adresa de email asociată, compromițând potențial identitatea a milioane de utilizatori YouTube.
„ID-urile Gaia sunt scurse în mai multe produse Google în afară de YouTube (Hărți, Play, Pay), creând un risc semnificativ pentru confidențialitate pentru toți utilizatorii Google, deoarece pot fi folosite pentru a dezvălui adresa de email legată de contul Google”, au declarat cercetătorii pentru BleepingComputer.
În timp ce cercetătorii aveau acum o modalitate de a obține o adresă de email din ID-ul Gaia, serviciul notifica și utilizatorii fișierului partajat, alertându-i potențial cu privire la activitatea malitioasă.
Deoarece emailul de notificare includea un titlu al videoclipului în notificarea prin email, cercetătorii au modificat cererea lor pentru a include milioane de caractere în datele titlului, ceea ce a făcut ca serviciul de notificare prin email să nu reușească să trimită emailul.
Cercetătorii au raportat vulnerabilitatea către Google pe 24 septembrie 2024, iar aceasta a fost în cele din urmă rezolvată săptămâna trecută, pe 9 februarie 2025.
Inițial, Google a răspuns că vulnerabilitatea era un duplicat al unei erori urmărite anterior, acordând doar o recompensă de 3,133 de dolari. Cu toate acestea, după ce au demonstrat componenta suplimentară Pixel Recorder, au mărit recompensa la 10,633 de dolari, invocând o probabilitate mare că aceasta ar fi exploatată.
BruteCat și Nathan au declarat pentru BleepingComputer că Google a atenuat problemele prin remedierea scurgerii ID-ului Gaia și a problemei de la ID-ul Gaia la email prin Pixel Recorder. Google a făcut, de asemenea, ca blocarea unui utilizator pe YouTube să afecteze doar acel site și să nu afecteze alte servicii.
Google a confirmat pentru BleepingComputer că atenuările pentru probleme sunt acum finalizate și că nu există semne că vreun atacator a exploatat activ problemele.
Leave a Reply