Le chercheur en sécurité des réseaux Brutecat a découvert deux vulnérabilités de sécurité dans le site Web de vidéos YouTube de Google. Bien que Google promet de protéger la vie privée des utilisateurs, tant que les deux vulnérabilités sont liées en série, il est possible d'obtenir directement la véritable adresse e-mail Gmail du créateur de la chaîne YouTube.

Avec une adresse e-mail Gmail, vous pouvez également usurper l'identité de Google ou de YouTube auprès des créateurs de phishing, ce qui entraînera davantage de problèmes de sécurité, comme le vol de grands comptes de chaînes YouTube et la publication de sites Web de phishing.

Initialement, des chercheurs analysant l'API People de Google ont découvert qu'une fonctionnalité permettant de bloquer les utilisateurs de YouTube reposait sur d'obscurs GaiaIDs, le système de gestion des identifiants de tous les produits Google.

Selon les instructions de la page d'assistance de Google, le blocage de quelqu'un sur YouTube s'étendra automatiquement aux autres produits Google, ce qui signifie que lorsqu'un utilisateur effectue une opération de blocage, ce n'est pas le compte YouTube de l'autre personne qui est bloqué, mais GaiaID.

Il y a eu plusieurs erreurs lors de l'analyse de GaiaID dans les adresses e-mail dans le passé, et les chercheurs pensent que cette vulnérabilité peut encore exister dans certains produits Google plus anciens et moins connus.

Une vérification ultérieure a prouvé que les chercheurs avaient raison. Les chercheurs ont trouvé un lien dans la version en ligne de GooglePixelRecorder (l'enregistreur vocal fourni avec les appareils Google Pixel). En partageant l'enregistrement de la version Web de PixelRecorder avec GaiaID et en vérifiant la demande Web, l'adresse e-mail de la cible a été exposée.

Normalement, l'exécution d'une telle opération déclenchera l'envoi d'une notification de partage à l'utilisateur cible (telle qu'une notification de partage d'enregistrement).Mais les chercheurs ont utilisé un script Python pour attribuer un nom de fichier d'enregistrement extrêmement long (le nom du fichier comptait 2,5 millions de caractères)., ce nom de fichier empêche Google d'envoyer des notifications de partage aux utilisateurs cibles.

Après avoir déterminé que la vulnérabilité pouvait être exploitée, le chercheur a signalé la vulnérabilité à Google, qui a ensuite été confirmée par Google. Google a alloué une prime de vulnérabilité de 3 133 $ US au chercheur. Cependant, après mûre réflexion, Google a estimé que la vulnérabilité était susceptible d'être exploitée. Il a donc réévalué le niveau de risque et a accordé 7 500 dollars supplémentaires, ce qui signifie que la prime cumulée du chercheur s'élevait à 10 633 dollars.

Google a actuellement corrigé cette vulnérabilité. Bien entendu, si le problème n’est pas résolu, les chercheurs ne divulgueront pas les détails de la vulnérabilité ci-dessus.