YouTube’un altyapısındaki kritik bir güvenlik açığı, saldırganların Google’ın hesap yönetim sistemindeki kusurları ve eski bir Piksel Kaydedici API’sındaki kusurları birleştirerek anonim kanallara bağlı e -posta adreslerini ortaya çıkarmasına izin verdi.
Güvenlik araştırmacıları Brutecat ve Nathan tarafından keşfedilen istismar zinciri, YouTube’un dahili kullanıcı engelleme özelliğini ve gizlilik korumalarını atlamak için yanlış yapılandırılmış bir bulut hizmetini, aktivistler, ihbarcılar ve sahte içerik oluşturucular için önemli riskler oluşturdu.
Saldırı, YouTube’un canlı sohbet ılımlılık sisteminden yararlanarak başladı. Araştırmacılar, bir kullanıcının canlı sohbet mesajında bağlam menüsünü (üç noktalı düğmeden) açmanın bir API isteğini tetiklediğini (/youtubei/v1/live_chat/get_item_context_menu).
Bu istek, hedefin iç kullanım için amaçlanan benzersiz bir Google hesabı tanımlayıcısı olan hedefin gizlenmiş Gaia kimliğini içeren bir Base64 kodlu parametre döndürdü.
API parametrelerini değiştirerek saldırganlar, canlı aktivitesi olmayanlar da dahil olmak üzere herhangi bir YouTube kanalından GAIA ID’lerini çıkarabilir. Örneğin, otomatik olarak üretilen bir konu kanalında bir test, GAIA kimliğini ortaya çıkardı 103261974221829892167.
Gaia ID’leri doğal olarak hassas olmasa da, diğer güvenlik açıklarıyla eşleştirildiğinde sorunlu hale gelirler. Araştırmacılar, Google’ın Piksel kaydedici API’sının bu kimlikleri e -posta adreslerine dönüştürebileceğini buldular.
Piksel kaydedici aracılığıyla bir kaydı paylaşarak ve sızdırılan Gaia kimliğini girerek, sistem ilişkili e -posta adresini döndürerek kullanıcının kimliğini etkili bir şekilde kaldırdı.
Mağdurların tespit edilmesini önlemek için, araştırmacılar bu süreçte gönderilen bildirim e -postalarını bastırmanın bir yolunu keşfettiler. Kayıt başlığını milyonlarca karakteri aşacak şekilde manipüle ederek, bildirim sisteminin sessizce başarısız olmasına neden oldular.
Bu güvenlik açığı milyonlarca YouTube kullanıcısı için ciddi bir gizlilik riski oluşturdu. Anonim kalmak isteyen içerik oluşturucular, e -posta adresleri rızası olmadan ortaya çıkabileceğinden özellikle savunmasızdı. Bu, hedeflenen taciz, kimlik avı saldırılarına veya diğer kötü amaçlı faaliyetlere yol açabilir.
İstismar ayrıca Google’ın veri yönetimi uygulamaları hakkında daha geniş endişeleri vurguladı. GAIA ID’leri birden fazla Google hizmetinde kullanılır, yani benzer güvenlik açıkları Google Haritalar veya Play Store gibi diğer platformları potansiyel olarak etkileyebilir.
Brutecat gazetecilere verdiği demeçte, “Gaia ID’leri sadece YouTube dışında birkaç Google ürününde sızdırılıyor… tüm Google kullanıcıları için önemli bir gizlilik riskine neden oluyor” dedi.
Google’ın yanıtı
Araştırmacılar sorunu 24 Eylül 2024’te Google’a açıkladılar. Başlangıçta Google bunu daha önce bildirilen bir hatanın bir kopyası olarak sınıflandırdı ve mütevazı 3.133 $ ödül verdi.
Bununla birlikte, Piksel Kaydedici bileşeni ile ilgili daha fazla açıklamadan sonra Google, ödülü 10.633 dolara çıkardı ve her iki güvenlik açıklarını da ele almak için adımlar attı.
Google, hem YouTube’un API’sını hem de Pixel Recorder’ın paylaşım mekanizmasını düzenleyerek sorunu azalttığını doğruladı. Ayrıca, YouTube’daki kullanıcıları engellemek artık yalnızca bu platformdaki etkileşimleri etkiler ve GAIA kimliklerini diğer hizmetlerde ortaya çıkarmaz.
Bir açıklamada Google, kullanıcılara 9 Şubat 2025 tarihinde düzeltilmeden önce bu kusurların aktif olarak kullanıldığına dair bir kanıt bulunmadığından emin oldu.
Bu olay, birbirine bağlı sistemlerde titiz güvenlik testinin öneminin altını çizmektedir. Bireysel API’ler tek başına güvenli görünse de, diğer hizmetlerle entegrasyonları öngörülemeyen güvenlik açıkları yaratabilir.
Kullanıcılar için bu, çevrimiçi gizlilik konusunda uyanık kalmayı hatırlatır. Uzmanlar, riskleri en aza indirmek için iki faktörlü kimlik doğrulamayı (2FA) etkinleştirmenizi ve hesap izinlerinin düzenli olarak gözden geçirilmesini önerir.
Google gibi teknoloji devlerine gelince, bu durum, kullanıcı verilerinin korunmasında ve potansiyel istismar vektörlerini sömürülmeden önce ele almada proaktif önlemlere duyulan ihtiyacı vurgulamaktadır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free