Google két olyan sérülékenységet javított, amelyek együttes kihasználása lehetővé tette a YouTube fiókok e-mail címeinek felfedését, ezáltal súlyos adatvédelmi incidenst okozva azok számára, akik anonim módon használják az oldalt. A hibákat a BruteCat és Nathan biztonsági kutatók fedezték fel, akik megállapították, hogy a YouTube és a Pixel Recorder API-k felhasználhatók a felhasználók Google Gaia azonosítóinak megszerzésére, amelyeket ezután e-mail címekké lehetett konvertálni. A Gaia ID egy egyedi belső azonosító, amelyet a Google a fiókok kezelésére használ a hálózatán belül.
A támadási lánc első része akkor került napvilágra, amikor BruteCat megvizsgálta a Google egyik belső API-ját, és felfedezte, hogy a Google hálózati szintű „blokkolási” funkciója egy obfuszkált Gaia ID-t és egy megjelenítési nevet igényelt. Mivel a felhasználók egyetlen Google fiókot regisztrálnak, amelyet a Google összes szolgáltatásában (Gmail, YouTube, Google Drive stb.) használnak, ez az azonosító mindenhol ugyanaz. Azonban ez az ID nem nyilvános, hanem kizárólag belső célokat szolgál a Google rendszerein belüli adatok megosztására.
BruteCat feltárta, hogy amikor megpróbálnak valakit blokkolni egy élő csevegésben, a YouTube felfedi a célzott személy obfuszkált Gaia ID-jét a /youtube/v1/live_chat/get_item_context_menu API kérés válaszában.
A kutatók felfedezték, hogy pusztán a hárompontos menü megnyitása a csevegésben egy háttérbeli API kérést indított a YouTube API-jához, amely lehetővé tette az ID hozzáférését anélkül, hogy ténylegesen blokkolták volna az illetőt. A kérés módosításával a kutatók bármely YouTube csatorna Gaia ID-jét megszerezhették, beleértve azokat is, akik anonimak akartak maradni. Miután megszerezték a Gaia ID-t, a következő lépés az volt, hogy ezt e-mail címmé konvertálják. Nathan felfedezte, hogy miután egy YouTube felhasználó Gaia ID-jét beküldték a Pixel Recorder megosztási funkciójába, az visszaadta a hozzárendelt e-mail címet, potenciálisan több millió YouTube felhasználó személyazonosságát veszélyeztetve.
Amikor a kutatók megszerezték az e-mail címeket, a szolgáltatás értesítést küldött a fájl megosztásáról az érintett felhasználónak, ami potenciálisan figyelmeztethette őket a rosszindulatú tevékenységre. A kutatók a kérésükben több millió karaktert adtak meg címadatként, ami miatt az e-mail értesítési szolgáltatás meghibásodott, így nem küldte ki a levelet.
A kutatók 2024. szeptember 24-én jelentették a hibát a Google-nek, amelyet végül 2025. február 9-én javítottak. A Google 10 633 dollár jutalmat fizetett, mivel a hiba kihasználásának valószínűsége magas volt.
BruteCat és Nathan elmondása szerint a Google úgy szüntette meg a hibákat, hogy kijavította a Gaia ID kiszivárgását és az e-mail cím konvertálásának hibáját a Pixel Recorderben. Emellett a YouTube-on történő blokkolás mostantól csak a YouTube-ra vonatkozik, és nem érinti a többi Google szolgáltatást.
Forrás: bleepingcomputer.com
