Due ricercatori hanno scoperto due vulnerabilità nelle API di YouTube e Pixel Recorder che, quando combinate insieme, consentivano di scoprire gli indirizzi email degli account YouTube. Ciò rappresentava un serio rischio per la privacy. In seguito alle segnalazione, Google ha corretto i bug e premiato i ricercatori con 10.633 dollari.
Descrizione delle vulnerabilità
Utilizzando le Internal People API, uno dei due ricercatori ha scoperto che la funzionalità di blocco degli account su YouTube svelava il Gaia ID. Si tratta di un identificatore unico associato all’account Google e utilizzato per tutti i servizi dell’azienda di Mountain View. Il Gaia ID non dovrebbe essere pubblico in quanto usato solo per condividere dati tra i sistemi di Google.
Quando il ricercatore ha simulato il blocco di un utente nella live chat, YouTube ha esposto il Gaia ID nella risposta alla richiesta API. Quest’ultima era codificata in base64, ma quando decodificata è stato trovato l’identificatore associato all’account. Il secondo ricercatore ha scoperto che Pixel Recorder ha una web API che consente di trovare l’indirizzo email associato al Gaia ID, quando viene condivisa una registrazione audio.
Ciò rappresenta una grave pericolo per la privacy. Il proprietario dell’account Google riceve un’email con il titolo del video che notifica la condivisione e quindi avverte di una possibile attività sospetta. I ricercatori hanno modificato la richiesta aggiungendo 2,5 milioni di caratteri nel titolo. Ciò ha mandato in tilt il servizio e non è arrivata nessuna email al destinatario.
Le vulnerabilità sono state segnalate il 15 settembre 2024. Google ha risolto il problema il 9 febbraio. Il Gaia ID non può essere più recuperato e non è più possibile trovare l’indirizzo email associato.
Ti potrebbe interessare
14 feb 2025