已經發現了YouTube上的一系列漏洞。這些缺陷位於YouTube和像素錄音機API中,可以使攻擊者妥協用戶的電子郵件地址。 Google迅速糾正了這些違規行為。
兩名研究人員發現脆弱性二人組在Youtube。故障在YouTube API中等像素錄音機,軟件接口,使開發人員可以與Google Services進行交互。在攻擊鏈中結合在一起,違規行為可能會使互聯網用戶的隱私處於極大的危險之中。
通過利用第一個故障,攻擊者將能夠動手Google Gaia標識符用戶。這是Google使用的身份管理系統,用於在其各種服務上驗證其用戶,包括YouTube,Gmail或Google Drive。它不應該是公開的,而是僅限於Google的內部服務。
YouTube阻塞中的故障
為了獲得此標識符,研究人員使用了這功能阻止YouTube,這使您可以阻止活貓中的用戶。在堵塞期間,該功能在度量的起源處返回對用戶的響應。這種技術響應包含被阻塞人的蓋亞標識符。數據被遮蓋了,也就是說,隱藏了,但是研究人員通過解碼基礎64中編碼的數據來識別信息。
一旦獲得標識符,研究人員就開始尋找解決方案將其轉換為電子郵件地址。一位專家發現了像素錄音機,Google智能手機的功能,Pixel的漏洞,該功能使您可以錄製視頻和錄製聲音。使用功能API Faille,二人組能夠將標識符轉換為電子郵件地址。脆弱性在共享選項中。
“除了YouTube(例如地圖,播放,付費)外,Gaia標識符還在多個Google產品上公開,這代表了Google用戶隱私的主要風險,因為這些標識符可用於揭示地址電子郵件相關的地址電子郵件使用Google帳戶»,向研究人員向我們的同事解釋,從易怒的計算機中向我們的同事解釋。
研究人員逐漸能夠從YouTube上的用戶名開始檢測到Google帳戶鏈接的電子郵件地址。這兩個故障的組合瀕臨滅絕創建者匿名誰在平台上發布視頻和簡單的互聯網用戶。在某些情況下,電子郵件地址可以使您可以回到某人的身份。
由研究人員提醒,Google只是糾正兩個漏洞。這家山景巨頭解決了與蓋亞標識符的飛行有關的問題。此外,YouTube上用戶的鎖定僅限於此平台,而不會影響其他Google服務。沒有跡象表明這兩個缺陷被海盜利用。
來源 : 易怒的計算機
