网络安全研究人员Brutecat发现谷歌的YouTube视频网站存在两个安全漏洞,尽管谷歌承诺会保护用户隐私,但有心者只需要将两个漏洞串联起来就有可能直接获取YouTube频道所属创作者的真实Gmail邮箱。
有了Gmail邮箱后还可以仿冒Google或YouTube对创作者进行钓鱼,从而引发更多安全问题,例如窃取大型YouTube频道账户和发布钓鱼网站等。
最初研究人员在分析Google的PeopleAPI时发现一个允许屏蔽YouTube用户的功能依赖于模糊的GaiaID,Gaia是谷歌所有产品的ID管理系统。
根据谷歌支持页面的说明,在YouTube上屏蔽某个人时会自动扩展到谷歌的其他产品,这意味着当用户执行屏蔽操作时屏蔽的并非对方YouTube账户,还是GaiaID。
而过去曾出现过几个将GaiaID解析为电子邮件地址的错误,研究人员相信在谷歌某些老旧的产品、不太知名的产品种可能还存在这种漏洞。
随后的验证证明研究人员是正确的,研究人员在GooglePixelRecorder(谷歌Pixel设备自带的录音机)网络版种发现了链接,通过将PixelRecorder网页版的录音分享给GaiaID并检查网页请求时,目标的电子邮件地址被曝光。
通常情况下执行这类操作时会触发向目标用户发送共享通知(例如录音的共享通知),但研究人员使用Python脚本分配了一个极长的录音文件名(文件名长度达250万个字符),这个文件名导致谷歌不会向目标用户发送共享通知。
在确定漏洞可被利用后研究人员将漏洞通报给谷歌,随后也得到了谷歌的确认,谷歌为研究人员分配了3133美元的漏洞奖金,不过谷歌深思熟虑后觉得该漏洞很有可能会被利用,因此重新评估了危害等级并额外奖励了7500美元,也就是研究人员累计获得的奖金为10633美元。
目前谷歌已经修复这枚漏洞,当然不修复的话研究人员也不会披露以上漏洞的细节。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】