Google исправила уязвимость, позволяющую раскрыть email-адреса пользователей YouTube

2025-02-12 1441 комментарии
Google устранила уязвимость, позволявшую раскрывать email-адреса владельцев YouTube-аккаунтов через API YouTube и Pixel Recorder. Исследователи смогли извлечь уникальный идентификатор Gaia ID и преобразовать его в email. Ошибка была исправлена 9 февраля 2025 года

Компания Google устранила две уязвимости, которые в связке могли раскрыть email-адреса владельцев YouTube-аккаунтов, что создавало серьезную угрозу для пользователей, стремящихся сохранить анонимность.

Уязвимости были обнаружены исследователями кибербезопасности под никами Brutecat (brutecat.com) и Nathan (schizo.org). Они выяснили, что API YouTube и Pixel Recorder позволяли получить уникальный идентификатор Google (Gaia ID) пользователя, а затем преобразовать его в email-адрес.

Способность определить email-адрес владельца YouTube-канала представляла серьезную угрозу для конфиденциальности создателей контента, разоблачителей и активистов, которые полагаются на анонимность в сети.

Утечка данных через API

Первая уязвимость существовала несколько месяцев и была обнаружена, когда Brutecat изучал внутренний API Google People. Исследователь заметил, что функция блокировки в сети Google требует скрытый Gaia ID и отображаемое имя пользователя.

Gaia ID — это уникальный внутренний идентификатор, который Google использует для управления аккаунтами во всей своей экосистеме, включая Gmail, YouTube, Google Drive и другие сервисы. Этот идентификатор не должен быть публичным, так как он служит для обмена данными между системами Google.

Brutecat обнаружил, что при попытке заблокировать пользователя в чате YouTube его скрытый Gaia ID можно извлечь из ответа API /youtube/v1/live_chat/get_item_context_menu. В этом ответе содержались данные, закодированные в base64, которые при декодировании показывали идентификатор пользователя.

Получив Gaia ID, исследователи искали способ преобразовать его в email-адрес. Старые API, позволяющие это сделать, были отключены, но Nathan обнаружил, что устаревший веб-API Pixel Recorder все еще поддерживает такую возможность при передаче записей.

Используя этот API, исследователи смогли отправить полученный Gaia ID через функцию совместного использования записи, и сервис возвращал связанный с ним email-адрес. Это означало, что любой YouTube-канал мог быть сопоставлен с реальным email-адресом владельца, что ставило под угрозу анонимность миллионов пользователей.

Исследователи пояснили:

Данные Gaia ID утекали не только через YouTube, но и через другие сервисы Google (Google Карты, Google Play, Google Pay), создавая значительную угрозу конфиденциальности, так как они могут быть использованы для выявления email-адреса, связанного с аккаунтом Google.

При использовании Pixel Recorder API владельцы аккаунтов получали уведомления о том, что с их данными совершаются подозрительные действия. Чтобы обойти это ограничение, исследователи изменили запрос, добавив в заголовок видео миллионы символов, что приводило к сбою в системе уведомлений и препятствовало отправке оповещений.

Исследователи сообщили о проблеме Google 24 сентября 2024 года, и уязвимость была устранена 9 февраля 2025 года.

Первоначально Google посчитал найденную ошибку дубликатом уже известного бага и выплатил исследователям вознаграждение в размере 3 133 долларов. Однако после демонстрации использования Pixel Recorder компания повысила сумму до 10 633 долларов, признав высокий риск эксплуатации.

Google устранил проблему, закрыв утечку Gaia ID и возможность его преобразования в email-адрес через Pixel Recorder. Также компания изменила механику блокировки пользователей в YouTube: теперь эта функция действует только в рамках платформы и не затрагивает другие сервисы Google. Данные об эксплуатации уязвимости Google неизвестны.

© .
Комментарии и отзывы

Нашли ошибку?

Новое на сайте