Google zakrpao propust na YouTubeu koji je mogao izložiti e-mail adrese 2,7 milijardi korisnika
Ozbiljan sigurnosni propust na YouTubeu nastao je u sustavu za moderiranje live chatova, gdje bi blokiranje korisnika otkrilo njihov Gaia ID koji se mogao iskoristiti za otkrivanje e-mail adresa. Google je problem riješio i nagradio istraživače koji su otkrili propust s 10.633 dolara...
Sigurnosni istraživači Brutecat (brutecat.com) i Nathan (schizo.org) otkrili su i prijavili ovaj propust u rujnu 2024. godine, nakon čega je prije nekoliko dana Google implementirao potrebne zakrpe.
Kriv Googleov interni Gaia ID sustava
Ranjivost je proizašla iz interakcije između YouTubeovog sustava za moderiranje chatova uživo i Googleovog internog Gaia ID sustava. Kada bi moderatori blokirali korisnike tijekom live chata, API platforme je nehotice otkrivao njihov Gaia ID - jedinstveni identifikator koji se koristi u svim Googleovim servisima. Iako su ovi ID-evi obično zaštićeni, istraživači su otkrili da se mogu iskoristiti kroz propust u značajci dijeljenja Google Pixel Recorder aplikacije kako bi se došlo do e-mail adresa korisnika. Ovaj sigurnosni propust posebno je ugrozio korisnike kojima je anonimnost ključna, poput aktivista, zviždača i kreatora sadržaja koji žele ostati anonimni.
Istraživači su tijekom testiranja osmislili poseban način provjere koji nije ostavljao tragove. U Pixel Recorder aplikaciju ubacili su naslove s milijunima znakova, što je onemogućilo slanje e-mail obavijesti. Tako su mogli testirati propust, a da korisnici nisu ni znali da su bili meta testiranja.
Zakrpe za YouTube API i Pixel Recorder
Google je isprva kategorizirao problem kao duplikat ranije prijavljenog buga i ponudio nagradu od 3.133 dolara. Međutim, nakon što su istraživači demonstrirali kako Pixel Recorder komponenta multiplicira sigurnosni rizik, Google je povećao nagradu na 10.633 dolara i konačno implementirao sigurnosna ažuriranja. Poboljšanja uključuju zakrpe za YouTube API i mehanizam dijeljenja u Pixel Recorderu, uz modifikacije koje sprječavaju izlaganje Gaia ID-a prilikom blokiranja korisnika.
Ranjivosti i u drugim servisima?
Budući da se Gaia ID-evi koriste u cijeloj Googleovoj infrastrukturi, uključujući Google Maps i Play Store, slične ranjivosti potencijalno bi mogle postojati i u drugim servisima. Iako Google tvrdi da nema dokaza o zlonamjernom iskorištavanju tijekom perioda izloženosti, slučaj naglašava sigurnosne rizike svojstvene međusobno povezanim digitalnim sustavima.
