Se corrige fallo que podría revelar email de los usuarios de YouTube

Iniciado por AXCESS, Febrero 13, 2025, 03:36:53 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 13, 2025, 03:36:53 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Google ha corregido dos vulnerabilidades que, al combinarse, podrían exponer las direcciones de correo electrónico de las cuentas de YouTube, lo que provocaría una importante violación de la privacidad de quienes utilizan el sitio de forma anónima.

Las fallas fueron descubiertas por los investigadores de seguridad Brutecat (brutecat.com) y Nathan (schizo.org), quienes descubrieron que las API de YouTube y Pixel Recorder podrían usarse para obtener los ID de Google Gaia de los usuarios y convertirlos en sus direcciones de correo electrónico.

La capacidad de convertir un canal de YouTube en la dirección de correo electrónico de un propietario es un riesgo significativo para la privacidad de los creadores de contenido, denunciantes y activistas que dependen del anonimato en línea.

API con fugas

La primera parte de la cadena de ataques, que fue explotable durante meses, se descubrió después de que BruteCat revisara la API de personas internas de Google y descubriera que la función de "bloqueo" de toda la red de Google requería un ID de Gaia ofuscado y un nombre para mostrar.

Un ID de Gaia es un identificador interno único que Google utiliza para administrar cuentas en toda su red de sitios. A medida que los usuarios se registran para una única "cuenta de Google" que se utiliza en todos los sitios de Google, este ID es el mismo en Gmail, YouTube, Google Drive y otros servicios de Google.

Sin embargo, este ID no está destinado a ser público y es para uso interno para compartir datos entre los sistemas de Google.

Al jugar con la función de bloqueo en YouTube, BruteCat descubrió que al intentar bloquear a alguien en un chat en vivo, YouTube expone el ID de Gaia ofuscado de la persona en cuestión en una respuesta de la solicitud de API /youtube/v1/live_chat/get_item_context_menu.

La respuesta incluía datos codificados en base64 que, cuando se decodificaron, contenían el ID de Gaia de ese usuario.



Los investigadores descubrieron que, con solo hacer clic en el menú de tres puntos de un chat, se activaba una solicitud en segundo plano a la API de YouTube, lo que les permitía acceder al ID sin tener que bloquearlos. Al modificar la llamada a la API, los investigadores recuperaron el ID de Gaia de cualquier canal de YouTube, incluidos aquellos que intentaban permanecer anónimos.

Con el ID de Gaia, ahora querían encontrar una forma de convertirlo en una dirección de correo electrónico, lo que aumentaría la gravedad de la falla.

Sin embargo, las API más antiguas que podían hacer esto han quedado obsoletas o ya no funcionan, por lo que BruteCat y Nathan comenzaron a buscar servicios de Google antiguos y obsoletos que aún pudieran ser explotados.

Después de experimentar, Nathan descubrió que Pixel Recorder tiene una API basada en la web que podría usarse para convertir el ID en un correo electrónico al compartir una grabación.



Esto significaba que una vez que se obtenía el ID de Gaia de un usuario de YouTube, se podía enviar a la función de uso compartido de Pixel Recorder, que luego devolvía la dirección de correo electrónico asociada, lo que potencialmente ponía en peligro la identidad de millones de usuarios de YouTube.

"Los ID de Gaia se filtran en varios productos de Google además de YouTube (Maps, Play, Pay), lo que provoca un riesgo de privacidad significativo para todos los usuarios de Google, ya que se pueden usar para revelar la dirección de correo electrónico vinculada a la cuenta de Google", dijeron los investigadores.

Si bien los investigadores ahora tenían una forma de obtener una dirección de correo electrónico de Gaia ID, el servicio también notificó a los usuarios del archivo compartido, lo que potencialmente los alertó de la actividad maliciosa.

Como el correo electrónico de notificación incluía el título de un video, los investigadores modificaron su solicitud para incluir millones de caracteres en los datos del título, lo que provocó que el servicio de notificación por correo electrónico fallara y no enviara el correo electrónico.

Los investigadores revelaron la falla a Google el 24 de septiembre de 2024 y finalmente se solucionó la semana pasada, el 9 de febrero de 2025.

Google respondió inicialmente que la vulnerabilidad era un duplicado de un error detectado anteriormente y solo otorgó una recompensa de $3,133. Sin embargo, después de demostrar el componente adicional Pixel Recorder, aumentaron la recompensa a $10,633, citando una alta probabilidad de que se explotara.

BruteCat y Nathan le dijeron a BleepingComputer que Google mitigó los errores al corregir la fuga de Gaia ID y la falla de Gaia ID a correo electrónico a través de Pixel Recorder. Google también hizo que bloquear a un usuario en YouTube solo afectara a ese sitio y no afectara a otros servicios.

Google confirmó a BleepingComputer que las mitigaciones de los errores ya se completaron y que no hay señales de que algún atacante haya explotado activamente las fallas.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario