Функция блокировки YouTube позволяла раскрывать адреса электронной почты

Google устранила две уязвимости, которые при совместной эксплуатации могли раскрыть адреса электронной почты аккаунтов YouTube.

Их обнаружили исследователи безопасности Brutecat и Nathan. Они выяснили, что API YouTube и Pixel Recorder можно использовать для получения идентификаторов Google Gaia пользователей и преобразования их в адреса электронной почты.

Возможность преобразования канала YouTube в адрес электронной почты владельца представляет собой значительный риск для конфиденциальности создателей контента, информаторов и активистов, полагающихся на анонимность. Первая часть цепочки атак, которая была доступна для эксплуатации в течение месяцев, была обнаружена после того, как в BruteCat просмотрели внутренний API Google People и обнаружили, что функция «блокировки» в масштабах всей сети Google требует скрытого идентификатора Gaia и отображаемого имени.

Gaia ID — это уникальный внутренний идентификатор, который Google использует для управления аккаунтами в своей сети сайтов. Поскольку пользователи регистрируются для одной «учётной записи Google», которая используется в разных службах, этот идентификатор одинаковый для Gmail, YouTube, Google Drive и других сервисов.

Однако он не предназначен для публичного использования, а требуется для обмена данными между системами Google.

Экспериментируя с функцией блокировки на YouTube, исследователь BruteCat обнаружил, что при попытке заблокировать кого-либо в чате YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu. Ответ включал закодированные в base64 данные, которые при декодировании содержали идентификатор Gaia ID. Исследователи обнаружили, что простое нажатие на меню из трёх точек в чате запускало