Розробники Google виправили дві вразливості, об’єднання яких розкривало адреси електронної пошти облікових записів YouTube.

Видання Bleeping Computer повідомляє, що вразливості виявили незалежні дослідники під ніками Brutecat і Nathan, які помітили, що API YouTube і Pixel Recorder можна використовувати для розкриття ідентифікаторів Google Gaia і подальшого перетворення їх на email-адреси користувачів.

Перша частина цієї атаки з’явилася завдяки тому, що BruteCat вивчив Google Internal People API і виявив, що для роботи функції блокування Google на рівні всієї мережі потрібен обфусцирований ідентифікатор Gaia ID та відображуване ім’я.

Gaia ID – це унікальний внутрішній ідентифікатор, який Google використовує для управління обліковими записами на своїх сайтах. Оскільки користувачі реєструють єдиний Google Account, який використовується на всіх сайтах Google, цей ідентифікатор однаковий для Gmail, YouTube, Google Drive та інших сервісів компанії. Цей ID не призначений для публічного використання і служить для внутрішнього обміну даними між системами Google.

Дослідники з’ясували, що просте натискання на меню з трьома крапками в чаті запускає фоновий запит до API YouTube, що дає змогу отримати доступ до ідентифікаторів навіть без фактичного блокування. Змінивши виклик API, дослідники змогли отримати Gaia ID для будь-якого YouTube-каналу, включно з тими, які прагнули залишатися анонімними.

Хоча дослідники знайшли спосіб отримання email-адрес через Gaia ID, Pixel Recorder повідомляв користувачів про спільний файл, що могло попередити ціль про шкідливу активність.

Оскільки в надісланих електронною поштою повідомленнях фігурувала назва відео, дослідники змінили свій запит таким чином, щоб включити мільйони символів у дані про назву. У підсумку це призводило до збою в роботі служби повідомлень, і листи не надсилалися.

Представники Google підтвердили журналістам, що помилки вже усунуто, і наголосили, що немає жодних ознак того, що їх використовували зловмисники.