Een beveiligingsonderzoeker heeft ontdekt dat Google, ondanks beloftes over privacy, mogelijk e-mailadressen van YouTube-kanalen heeft gelekt. De ontdekking kwam vorige week aan het licht, toen de onderzoeker, bekend als Brutecat, twee kwetsbaarheden vond die, wanneer ze gecombineerd werden, het mogelijk maakten om eenvoudig van een YouTube-ID naar een Gmail-adres te achterhalen.
Het begon allemaal toen Brutecat door de Google People API zocht en ontdekte dat een functie waarmee je een YouTube-gebruiker kunt blokkeren, afhankelijk was van een geanonimiseerd ‘Gaia’-ID. Gaia is het systeem voor het beheren van IDs voor alle Google-producten. Brutecat merkte op dat, volgens een ondersteuningspagina van Google, het blokkeren van iemand op YouTube ook van toepassing is op andere Google-diensten, waardoor het Gaia-ID wordt geblokkeerd, niet alleen het YouTube-account.
YouTube-kanalen
“Er zijn in het verleden verschillende bugs geweest die Gaia-IDs naar een e-mailadres omzetten, dus ik was ervan overtuigd dat er nog steeds zo’n link te vinden zou zijn in een oud, obscure Google-product”, schreef Brutecat.
De onderzoeker had gelijk: hij vond de link in de webversie van Pixel Recorder, een audio-opname-app voor Google Pixel-apparaten. Door een opname vanuit de webversie van Pixel Recorder naar een Gaia-ID te delen en het webverzoek te analyseren, werd het e-mailadres van het doelwit blootgesteld. Normaal zou deze actie een notificatie naar de ontvanger sturen, maar Brutecat omzeilde dit door een Python-script te gebruiken waarmee hij een extreem lange bestandsnaam (ongeveer 2,5 miljoen tekens) toevoegde, waardoor de notificatie uitviel.
Onderzoek
Brutecat diende het probleem in bij het Google Bug Bounty-programma, waar aanvankelijk een beloning van $3.133 werd aangeboden. Na verder onderzoek besloot Google dat het een hoog exploitatiepotentieel had en verhoogde de beloning tot $7.500. Google heeft de kwetsbaarheden inmiddels opgelost.
Het incident benadrukt de risico’s die verbonden zijn aan de schijnbare onschuld van Google’s systeem en toont aan hoe kwetsbaar privacy kan zijn, zelfs in producten die beweren veilig te zijn.