Относительность анонимности

Google устранил две уязвимости, позволявшие выяснить почтовый адрес, к которому привязан аккаунт Youtube. Успешная эксплуатация требовала использовать обе уязвимости одновременно.

Как выяснили исследователи по вопросам кибербезопасности, известные лишь как BruteCat и Nathan, API-интерфейсы Youtube и Pixel Recorder позволяли выяснить идентификатор пользователя в Google Gaia, а затем сконвертировать его в почтовый адрес. Последнее создает очень серьезные риски для авторов контента, особенно, если они кровно заинтересованы в анонимности.

Первую часть комбинации обнаружил BruteCat, когда исследовал API Google Internal People. Оказалось, что общесетевая функция блокировки требовала замаскированный идентификатор Gaia ID и общедоступное имя пользователя.

Gaia ID - это уникальный идентификатор, который Google использует для управления аккаунтами по всем своим многочисленным сайтам и для обмена данными между ними. Он присваивается при регистрации отдельно взятого аккаунта в экосистеме Google - и, по идее, должен оставаться скрытым.

Однако, как выяснил BruteCat, при попытки заблокировать кого-либо в чате YouTube в режиме реального времени, в ответ на API-запрос /youtube/v1/live_chat/get_item_context_menu система возвращает замаскированный идентификатор Gaia ID.

А замаскирован он протоколом base64, который можно без особых сложностей раскодировать.

Исследователи также обнаружили, что нажатие на трехточечное меню в чате генерирует запрос к API Youtube, так что идентификатор пользователя можно выяснить и не пытаясь производить его блокировку.

Модифицировав сами API-запросы, исследователи смогли получать идентификаторы Gaia для любых каналов YouTube, в том числе тех, чьи создатели пытаются сохранить анонимность.

Дело о старых API

Что касается конвертации идентификатора в почтовый адрес, то здесь все оказалось немного сложнее. Только старые и уже отставленные API позволяли раскрывать эти данные. Актуальные сервисы Google эти API не поддерживают и раскрывать с их помощью почтовый адрес не удается.

Однако онлайн-диктофон Google Pixel Recorder до последнего времени сохранял старый сетевой API, через который можно было сконвертировать Gaia ID в почтовый адрес.

Исследователи выяснили также, что для того, чтобы выяснить Gaia ID, можно было использовать также Google Maps (карты), Google Play (магазин приложений) и Google Pay (платежный процессор).

В случае с YouTube, однако, загрузившие видео получают по почте уведомление о том, что с их Gaia ID осуществляются какие-то манипуляции.

Эту «проблему» исследователи также обошли: поскольку в почтовом уведомлении содержится название видеоролика, модифицировали свои запросы к API таким образом, чтобы это название оказывалось длиной в миллионы символов. Служба отправки уведомлений с этим не справлялась и сообщение не отправляла.

Информация о уязвимостях была передана в Google 24 сентября 2024 г. Изначально в компании заявили, что это дубликат уже известной уязвимости и выплатила только $3133 в качестве награды. Однако после демонстрации проблемы с Pixel Recorder, вознаграждение было увеличено более чем втрое.

Уязвимости были устранены 9 февраля: «утечек» Gaia ID больше не происходит, Pixel Recorder больше невозможно использовать для выяснения почтового адреса. Плюс теперь блокировка пользователя на YouTube затрагивает только этот сервис.

Признаков активной эксплуатации уязвимости до сих пор не наблюдалось.

«Хорошая новость заключается в том, что эти уязвимости устранены централизованно, и что от конечных пользователей тут ничего не зависит», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ.

Эксперт отметила, что сами по себе уязвимости представляли большую угрозу, и хотя информации о том, что их использовали на практике, нет, это не значит, что кто-то не мог наткнуться на те же «баги» раньше и не придумал, как ими пользоваться.

Роман Георгиев

Короткая ссылка