A Google corrigiu duas vulnerabilidades que, quando combinadas, poderiam expor os endereços de e-mail das contas do YouTube, causando uma violação massiva da privacidade para aqueles que usam o site anonimamente.
As falhas foram descobertas pelos pesquisadores de segurança Brutecat (brutecat.com) e Nathan (schizo.org), que descobriram que as APIs do YouTube e Pixel Recorder poderiam ser usadas para obter os IDs Gaia do Google dos usuários e convertê-los em seus endereços de e-mail.
A capacidade de converter um canal do YouTube no endereço de e-mail do proprietário representa um risco significativo à privacidade para criadores de conteúdo, delatores e ativistas que dependem do anonimato online.
A primeira parte da cadeia de ataque, que foi explorável por meses, foi descoberta depois que BruteCat examinou a Internal People API do Google e descobriu que o recurso de "bloqueio" em toda a rede do Google exigia um ID Gaia ofuscado e um nome de exibição.
Um ID Gaia é um identificador interno único que o Google usa para gerenciar contas em sua rede de sites.
À medida que os usuários se registram para uma única "Conta Google" que é usada em todos os sites do Google, esse ID é o mesmo em todo o Gmail, YouTube, Google Drive e outros serviços do Google.
No entanto, esse ID não é destinado a ser público e é para uso interno para compartilhar dados entre os sistemas do Google.
Brincando com o recurso de bloqueio no YouTube, BruteCat descobriu que ao tentar bloquear alguém em um chat ao vivo, o YouTube expõe o ID Gaia ofuscado da pessoa visada em uma resposta da solicitação da API /youtube/v1/live_chat/get_item_context_menu.
A resposta incluía dados codificados em base64 que, quando decodificados, continham o ID Gaia desse usuário.
Os pesquisadores descobriram que simplesmente clicar no menu de três pontos em um chat acionava uma solicitação de fundo à API do YouTube, permitindo que eles acessassem o ID sem ter que bloqueá-los.
Modificando a chamada da API, os pesquisadores recuperaram o ID Gaia de qualquer canal do YouTube, incluindo aqueles que tentam permanecer anônimos.
Armados com o ID Gaia, eles agora queriam descobrir uma maneira de convertê-lo em um endereço de e-mail, o que aumentaria a gravidade da falha.
No entanto, APIs antigas que podiam fazer isso foram depreciadas ou não funcionam mais, então BruteCat e Nathan começaram a procurar serviços antigos e desatualizados do Google que poderiam potencialmente ainda ser explorados.
Após experimentar, Nathan descobriu que o Pixel Recorder possui uma API baseada na web que poderia ser usada para converter o ID em um endereço de e-mail ao compartilhar uma gravação.
Isso significava que, uma vez que o ID Gaia de um usuário do YouTube fosse obtido, ele poderia ser submetido ao recurso de compartilhamento do Pixel Recorder, que então retornava o endereço de e-mail associado, potencialmente comprometendo a identidade de milhões de usuários do YouTube.
"IDs Gaia são vazados em vários produtos do Google além do YouTube (Maps, Play, Pay), causando um risco significativo à privacidade para todos os usuários do Google, pois podem ser usados para revelar o endereço de e-mail vinculado à conta do Google", disseram os pesquisadores.
Enquanto os pesquisadores agora tinham uma maneira de obter um endereço de e-mail a partir do ID Gaia, o serviço também notificava os usuários sobre o arquivo compartilhado, potencialmente alertando-os sobre a atividade maliciosa.
Como o e-mail de notificação incluía o título de um vídeo na notificação por e-mail, os pesquisadores modificaram sua solicitação para incluir milhões de caracteres nos dados do título, o que fez com que o serviço de notificação por e-mail falhasse e não enviasse o e-mail.
Os pesquisadores divulgaram a falha ao Google em 24 de setembro de 2024, e ela foi finalmente corrigida na semana passada, em 9 de fevereiro de 2025.
O Google inicialmente respondeu que a vulnerabilidade era uma duplicata de um bug previamente rastreado, concedendo apenas um prêmio de $3.133.
No entanto, após demonstrar o componente adicional do Pixel Recorder, eles aumentaram o prêmio para $10.633, citando uma alta probabilidade de que seria explorado.
BruteCat e Nathan contaram que o Google mitigou os bugs corrigindo o vazamento do ID Gaia e a falha de ID Gaia para E-mail via Pixel Recorder.
O Google também fez com que bloquear um usuário no YouTube afetasse apenas aquele site e não impactasse outros serviços.
O Google confirmou que as mitigações para os bugs agora estão concluídas e que não há sinais de que algum atacante tenha explorado ativamente as falhas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...