Google, birlikte zincirlendiğinde, YouTube hesaplarının e -posta adreslerini ortaya çıkarabilen ve siteyi anonim olarak kullananlar için büyük bir gizlilik ihlaline neden olabilecek iki güvenlik açığını düzeltti.
Kusurlar, YouTube ve Pixel kaydedici API’lerinin kullanıcının Google Gaia kimliklerini elde etmek ve e -posta adreslerine dönüştürmek için kullanılabileceğini tespit eden güvenlik araştırmacıları Brutecat (Brutecat.com) ve Nathan (Schizo.org) tarafından keşfedildi.
Bir YouTube kanalını bir sahibinin e -posta adresine dönüştürme yeteneği, içerik oluşturucular, ihbarcılar ve çevrimiçi olarak anonim olmaya dayanan aktivistler için önemli bir gizlilik riskidir.
Sızdıran API’ler
Aylarca sömürülebilir olan saldırı zincirinin ilk kısmı, Brutecat Google’ın Dahili People API’sına baktıktan ve Google’ın ağ çapındaki “engelleme” özelliğinin gizlenmiş bir Gaia kimliği ve bir ekran adı gerektirdiğini buldu.
GAIA ID, Google’ın Siteler Ağı üzerindeki hesapları yönetmek için kullandığı benzersiz bir dahili tanımlayıcıdır. Kullanıcılar Google’ın tüm sitelerinde kullanılan tek bir “Google hesabı” için kayıt yaparken, bu kimlik Gmail, YouTube, Google Drive ve diğer Google hizmetlerinde aynıdır.
Ancak, bu kimlik kamuya açık değildir ve Google’ın sistemleri arasında veri paylaşmak için dahili kullanım içindir.
YouTube’daki engelleme özelliği ile oynayan Brutecat, canlı bir sohbette birini engellemeye çalışırken YouTube, hedeflenen kişinin şaşkın Gaia kimliğini ortaya çıkardığını keşfetti. /youtube/v1/live_chat/get_item_context_menu API isteği.
Yanıt, kod çözüldüğünde, o kullanıcının GAIA kimliğini içeren Base64 kodlu verileri içeriyordu.
Araştırmacılar, bir sohbette üç noktalı menüye tıklamanın, YouTube’un API’sına bir arka plan isteği tetiklediğini ve bunları engellemeden kimliğe erişmelerine izin verdiğini buldular. API çağrısını değiştirerek araştırmacılar, anonim kalmaya çalışanlar da dahil olmak üzere herhangi bir YouTube kanalının Gaia kimliğini aldı.
Gaia Kimliği ile donanmış, şimdi onu bir e -posta adresine dönüştürmenin bir yolunu bulmak istediler, bu da kusurun şiddetini artıracak.
Bununla birlikte, bunu yapabilecek eski API’ler kullanımdan kaldırıldı ya da artık işe yaramadı, bu yüzden Brutecat ve Nathan potansiyel olarak hala sömürülebilen eski, modası geçmiş Google hizmetleri aramaya başladı.
Denemeden sonra Nathan, Pixel kaydedicinin bir kayıt paylaşırken kimliği e-postaya dönüştürmek için kullanılabilecek web tabanlı bir API’ya sahip olduğunu keşfetti.
Bu, bir YouTube kullanıcısının GAIA kimliği elde edildikten sonra, daha sonra ilgili e -posta adresini döndüren ve potansiyel olarak milyonlarca YouTube kullanıcısının kimliğini tehlikeye atan Piksel Kaydedi Paylaşımı özelliğine gönderilebileceği anlamına geliyordu.
Araştırmacılar, “Gaia ID’leri, yalnızca YouTube (Haritalar, Oynat, Ödeme) dışında birkaç Google ürününe sızdırıldı ve tüm Google kullanıcıları için önemli bir gizlilik riskine neden oluyor, çünkü Google hesabına bağlı e -posta adresini açıklamak için kullanılabiliyorlar.” BleepingComputer’a söyledi.
Araştırmacılar şimdi Gaia ID’den bir e -posta adresi almanın bir yolu olsa da, hizmet paylaşılan dosyanın kullanıcılarına da bildirdi ve potansiyel olarak kötü niyetli etkinlik konusunda uyardı.
Bildirim e -postası e -posta bildirimine bir videonun başlığı içerdiğinden, araştırmacılar, e -posta bildirim hizmetinin başarısız olmasına ve e -postayı göndermemesine neden olan başlık verilerine milyonlarca karakter ekleme isteklerini değiştirdiler.
Araştırmacılar 24 Eylül 2024’te Google’a kusur açıkladılar ve sonunda geçen hafta 9 Şubat 2025’te düzeltildi.
Google başlangıçta güvenlik açığının daha önce izlenen bir hatanın bir kopyası olduğunu ve sadece 3.133 dolarlık bir ödül kazandığını söyledi. Bununla birlikte, ek piksel kaydedici bileşenini gösterdikten sonra, ödülünü 10.633 dolara çıkardılar, bu da yararlanma olasılığı yüksek bir olasılıkla belirttiler.
Brutecat ve Nathan, BleepingComputer’a Google’ın Gaia ID sızıntısını ve Gaia kimliğini piksel kaydedici aracılığıyla e -posta ile e -posta göndererek hataları hafiflettiğini söyledi. Google ayrıca YouTube’daki bir kullanıcıyı engellemeyi sadece bu siteyi etkiledi ve diğer hizmetleri etkilemedi.
Google, BleepingComputer’a hatalar için hafifletmenin tamamlandığını ve herhangi bir saldırganın kusurlardan aktif olarak sömürüldüğüne dair hiçbir işaret olmadığını doğruladı.