Istraživač bezbjednosti BruteCat, koji vodi blog pod nazivom brutecat.com, uspio je da poveže nekoliko nedostataka u Google proizvodima kako bi došao do email adrese korisnika YouTubea.
Istraživač je primjetio da YouTube otkriva Gaia ID, koji je jedinstveni identifikator za praćenje korisničkih naloga u svim Google uslugama. Jednostavnim pokušajem da blokira korisnika YouTubea, BruteCat je mogao da dobije naziv kanala i Gaia ID u odgovoru servera.
Štaviše, Gaia ID je uključen u odgovor servera kada se samo klikne na meni sa tri tačke, bez potrebe da se zapravo blokira ciljani kanal. Ovo bi moglo da se primijeni na sve četiri milijarde YouTube kanala.
– Ovo mi je bilo veoma čudno jer YouTube nikada ne bi trebalo da otkrije Google nalog YouTube kanala – navodi BruteCat u tekstu na blogu.
Druga faza je bila pretvaranje otkrivenih Gaia ID-ova u email adrese. Uz pomoć drugog istraživača bezbjednosti Nejtana (schizo.org), BruteCat je počeo da istražuje stare Google proizvode tražeći dodatne nedostatke. Njih dvojica su otkrili da je Pixel Recorder vratio email adresu korisnika kada je zatraženo da podijeli snimak.
Google je obavijestio žrtvu mejlom svaki put kada su istraživači testirali ovu metodu. Međutim, istraživači su pronašli jednostavno rješenje i za to.
– Shvatili smo da ako je uključen naslov našeg snimka u temu mejla, možda ne bi mogao da pošalje mejl ako je naš naslov snimka predugačak.
Oni su izabrali naslov snimka sa 2,5 miliona slova „X“ i Google je prestao da upozorava korisnike.
Povezivanje ove tri greške omogućilo je istraživačima da dobiju imejl adresu bilo kog korisnika YouTubea, a da oni to ne primjete.
BruteCat je odgovorno otkrio grešku Googleu 15. septembra 2024. i ubrzo je dobio pojašnjenje za dio problema. Google ga je nagradio sa samo 3.133 dolara, zbog srednje vjerovatnoće eksploatacije.
Nakon dodatnog objašnjenja istraživača, Google je priznao i drugu grešku koja utiče na Pixel Recorder i nagradio istraživače sa još 7.500 dolara, piše Informacija.
Najnovije vijesti Srpskainfo i na Viberu