Компания Google устранила две уязвимости, которые в связке могли раскрыть email-адреса владельцев YouTube-аккаунтов, что создавало серьезную угрозу для пользователей, стремящихся сохранить анонимность.
Уязвимости были обнаружены исследователями кибербезопасности под никами Brutecat (brutecat.com) и Nathan (schizo.org). Они выяснили, что API YouTube и Pixel Recorder позволяли получить уникальный идентификатор Google (Gaia ID) пользователя, а затем преобразовать его в email-адрес.
Способность определить email-адрес владельца YouTube-канала представляла серьезную угрозу для конфиденциальности создателей контента, разоблачителей и активистов, которые полагаются на анонимность в сети.
Утечка данных через API
Первая уязвимость существовала несколько месяцев и была обнаружена, когда Brutecat изучал внутренний API Google People. Исследователь заметил, что функция блокировки в сети Google требует скрытый Gaia ID и отображаемое имя пользователя.
Gaia ID — это уникальный внутренний идентификатор, который Google использует для управления аккаунтами во всей своей экосистеме, включая Gmail, YouTube, Google Drive и другие сервисы. Этот идентификатор не должен быть публичным, так как он служит для обмена данными между системами Google.
Brutecat обнаружил, что при попытке заблокировать пользователя в чате YouTube его скрытый Gaia ID можно извлечь из ответа API /youtube/v1/live_chat/get_item_context_menu. В этом ответе содержались данные, закодированные в base64, которые при декодировании показывали идентификатор пользователя.
Получив Gaia ID, исследователи искали способ преобразовать его в email-адрес. Старые API, позволяющие это сделать, были отключены, но Nathan обнаружил, что устаревший веб-API Pixel Recorder все еще поддерживает такую возможность при передаче записей.
Используя этот API, исследователи смогли отправить полученный Gaia ID через функцию совместного использования записи, и сервис возвращал связанный с ним email-адрес. Это означало, что любой YouTube-канал мог быть сопоставлен с реальным email-адресом владельца, что ставило под угрозу анонимность миллионов пользователей.
Исследователи пояснили:
Данные Gaia ID утекали не только через YouTube, но и через другие сервисы Google (Google Карты, Google Play, Google Pay), создавая значительную угрозу конфиденциальности, так как они могут быть использованы для выявления email-адреса, связанного с аккаунтом Google.
При использовании Pixel Recorder API владельцы аккаунтов получали уведомления о том, что с их данными совершаются подозрительные действия. Чтобы обойти это ограничение, исследователи изменили запрос, добавив в заголовок видео миллионы символов, что приводило к сбою в системе уведомлений и препятствовало отправке оповещений.
Исследователи сообщили о проблеме Google 24 сентября 2024 года, и уязвимость была устранена 9 февраля 2025 года.
Первоначально Google посчитал найденную ошибку дубликатом уже известного бага и выплатил исследователям вознаграждение в размере 3 133 долларов. Однако после демонстрации использования Pixel Recorder компания повысила сумму до 10 633 долларов, признав высокий риск эксплуатации.
Google устранил проблему, закрыв утечку Gaia ID и возможность его преобразования в email-адрес через Pixel Recorder. Также компания изменила механику блокировки пользователей в YouTube: теперь эта функция действует только в рамках платформы и не затрагивает другие сервисы Google. Данные об эксплуатации уязвимости Google неизвестны.
Угрозы безопасности
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub
• Нарушена работа опасного ботнета BadBox: под угрозой полмиллиона Android-устройств
• Microsoft удалила два популярных расширения VSCode с 9 миллионами установок из-за угроз безопасности