网络安全研究人员 Brutecat 发现谷歌的 YouTube 视频网站存在两个安全漏洞,尽管谷歌承诺会保护用户隐私,但有心者只需要将两个漏洞串联起来就有可能直接获取 YouTube 频道所属创作者的真实 Gmail 邮箱。
有了 Gmail 邮箱后还可以仿冒 Google 或 YouTube 对创作者进行钓鱼,从而引发更多安全问题,例如窃取大型 YouTube 频道账户和发布钓鱼网站等。
最初研究人员在分析 Google 的 People API 时发现一个允许屏蔽 YouTube 用户的功能依赖于模糊的 Gaia ID,Gaia 是谷歌所有产品的 ID 管理系统。
根据谷歌支持页面的说明,在 YouTube 上屏蔽某个人时会自动扩展到谷歌的其他产品,这意味着当用户执行屏蔽操作时屏蔽的并非对方 YouTube 账户,还是 Gaia ID。
而过去曾出现过几个将 Gaia ID 解析为电子邮件地址的错误,研究人员相信在谷歌某些老旧的产品、不太知名的产品种可能还存在这种漏洞。
随后的验证证明研究人员是正确的,研究人员在 Google Pixel Recorder (谷歌 Pixel 设备自带的录音机) 网络版种发现了链接,通过将 Pixel Recorder 网页版的录音分享给 Gaia ID 并检查网页请求时,目标的电子邮件地址被曝光。
通常情况下执行这类操作时会触发向目标用户发送共享通知 (例如录音的共享通知),但研究人员使用 Python 脚本分配了一个极长的录音文件名 (文件名长度达 250 万个字符),这个文件名导致谷歌不会向目标用户发送共享通知。
在确定漏洞可被利用后研究人员将漏洞通报给谷歌,随后也得到了谷歌的确认,谷歌为研究人员分配了 3133 美元的漏洞奖金,不过谷歌深思熟虑后觉得该漏洞很有可能会被利用,因此重新评估了危害等级并额外奖励了 7500 美元,也就是研究人员累计获得的奖金为 10633 美元。
目前谷歌已经修复这枚漏洞,当然不修复的话研究人员也不会披露以上漏洞的细节。