This post is also available in:
English (אנגלית)
גילוי שנערך לאחרונה על ידי חוקרי אבטחת סייבר חשף פגם משמעותי באמצעי הפרטיות של יוטיוב, המאפשר גישה לכתובות הדוא"ל של משתמשים ללא ידיעתם. החולשה, אשר נעוצה במספר בעיות הקשורות זו לזו באקוסיסטם של גוגל, תוקנה מאז על ידי ענקית הטכנולוגיה, והחוקרים קיבלו פרס של מעל עשרת אלפים דולר עבור ממצאיהם.
החוקר, הידוע בשם Brutecat, הדגים כיצד ניצול פשוט יכול לסייע במשיכת כתובות דואר אלקטרוני הקשורות לכל חשבון יוטיוב. תחילה, ברוטקט גילה כי יוטיוב חשף מזהה ייחודי בשם GAIA ID. מזהה זה משמש למעקב אחר חשבונות משתמשים בשירותי גוגל שונים. על ידי ניסיון לחסום משתמש ביוטיוב, ברוטקט היה יכול להשיג בקלות את שם הערוץ ומזהה GAIA מעורפל מתגובת השרת. למרבה הפלא, ה-GAIA ID הופיע גם בלי לחסום את המשתמש – לחיצה פשוטה על תפריט שלוש הנקודות הספיקה כדי לחשוף אותו, מה שעלול להשפיע על כלל ארבעת מיליארד ערוצי היוטיוב הקיימים.
השלב השני של הניצול היה המרת מזהה GAIA לכתובת הדואר האלקטרוני האמיתית המשויכת לחשבון. בשיתוף פעולה עם חוקר אבטחה אחר, ניית'ן מ-schizo.org, ברוטקט בחן את מוצרי גוגל הישנים כדי לאתר פרצות נוספות. הזוג מצא שנקודת קצה באפליקציית Pixel Recorder החזירה את הדואר האלקטרוני של המשתמש בעת ניסיון לשתף הקלטה, בתנאי שמזהה ה-GAIA נשלח. למרות שגוגל שלחה הודעות למשתמשים בכל פעם שנגשו לדואר האלקטרוני שלהם בדרך זו, החוקרים מצאו דרך מתוחכמת לעקיפת הבעיה: הם הגדירו את כותרת ההקלטה כשרשרת ארוכה במיוחד של תווים – 2.5 מיליון אותיות X – ועצרו את הפעלת מערכת ההודעות.
שרשרת זו של חולשות אפשרה לחוקרים לאחזר את כתובות הדואר האלקטרוני של משתמשי יוטיוב מבלי שיבחינו בהן. ברוטקט דיווח על כך לגוגל באמצע ספטמבר 2024, וענקית הטכנולוגיה העניקה לו בסופו של דבר 10,633 דולר עבור התגלית.
