ネットワーク セキュリティ研究者の Brutecat は、Google の YouTube 動画 Web サイトに 2 つのセキュリティ脆弱性を発見しました。 Google はユーザーのプライバシーを保護すると約束していますが、2 つの脆弱性が連続している限り、YouTube チャンネルの作成者の実際の G​​mail メール アドレスを直接取得することが可能です。

Gmail の電子メール アドレスを使用すると、Google や YouTube になりすましてクリエイターをフィッシングすることもできます。これにより、大規模な YouTube チャンネル アカウントの窃盗やフィッシング Web サイトの公開など、さらなるセキュリティ上の問題が発生します。

当初、Google の People API を分析していた研究者は、YouTube ユーザーをブロックできる機能が、すべての Google 製品の ID 管理システムであるあいまいな GaiaID に依存していることを発見しました。

Google のサポート ページの手順によると、YouTube で誰かをブロックすると、他の Google サービスにも自動的に拡張されます。つまり、ユーザーがブロック操作を実行すると、ブロックされるのは相手の YouTube アカウントではなく、GaiaID になります。

過去に GaiaID を電子メール アドレスに解析する際にいくつかのエラーが発生しており、研究者らはこの脆弱性が一部の古い、あまり知られていない Google 製品にまだ存在している可能性があると考えています。

その後の検証により、研究者らが正しかったことが証明されました。研究者らは、GooglePixelRecorder (Google Pixel デバイスに付属のボイス レコーダー) のオンライン バージョンでリンクを発見しました。 PixelRecorder Web バージョンの記録を GaiaID に共有し、Web リクエストを確認することで、ターゲットのメール アドレスが暴露されました。

通常、このような操作を実行すると、共有通知がターゲット ユーザーに送信されます (録画共有通知など)。しかし、研究者らは Python スクリプトを使用して、非常に長い録音ファイル名を割り当てました (ファイル名の長さは 250 万文字でした)。、このファイル名により、Google は対象ユーザーに共有通知を送信しなくなります。

この脆弱性が悪用される可能性があると判断した研究者は、その脆弱性を Google に報告し、その後 Google によって確認されました。 Google はこの研究者に 3,133 米ドルの脆弱性報奨金を割り当てました。しかし、慎重に検討した結果、Google はこの脆弱性が悪用される可能性があると判断し、危険レベルを再評価し、追加で 7,500 米ドルを授与しました。これは、研究者の累積報奨金が 10,633 米ドルとなったことを意味します。

Google は現在、この脆弱性を修正しています。もちろん、それが修正されない場合、研究者は上記の脆弱性の詳細を公開しません。