Massale privacybreuk dreigde op YouTube door twee lekken
Om e-mailadressen te ontmaskeren, moesten aanvallers beide kwetsbaarheden misbruiken, melden beveiligingsonderzoekers Brutecat (brutecat.com) en Nathan (schizo.org). Het gaat om kwetsbaarheden in YouTube en de Pixel Recorder API, van de Recorder-app op Pixel-telefoons, die aanvallers toegang gaven tot de Gaia ID’s van Google-accounts. Het is vervolgens mogelijk om deze ID’s om te zetten naar e-mailadressen.
Blokkeerfunctie
Brutecat ontdekte het beveiligingslek via de Internal People API van Google. Met deze API regelt Google het delen van data tussen verschillende apps. Een van de gegevens die de API beheert, is de lijst met geblokkeerde gebruikers, waarvoor het vertrouwt op de eerdergenoemde Gaia-gegevens en een weergavenaam.
Dit detail leidde tot de ontdekking dat YouTube’s blokkeerfunctie de Gaia ID’s van gebruikers blootlegde. Wanneer iemand in een livechat werd geblokkeerd, onthulde YouTube volgens Brutecat de versleutelde ID van de betreffende persoon via een API-verzoek. Het was zelfs niet nodig om de gebruiker daadwerkelijk te blokkeren – het aanklikken van de drie puntjes bleek al voldoende om het verzoek in gang te zetten.
Door het API-verzoek aan te passen, bleek het bovendien mogelijk om de Gaia ID van elk YouTube-kanaal op te halen.
Kwetsbare API’s
Gewapend met de Gaia ID’s van Google-accounts begon de zoektocht naar manieren om deze te misbruiken. Via bepaalde API’s kunnen de ID’s worden omgezet naar e-mailadressen. Dit werkt doorgaans alleen bij oudere API’s, waarvan de meeste al zijn afgesloten. Dat bleek echter niet het geval voor de API van de Pixel Recorder-app, ontdekte Nathan.
De webgebaseerde API van deze applicatie maakte het mogelijk om Gaia ID’s in te voeren, waarna het bijbehorende e-mailadres werd onthuld. Deze bug was potentieel gevaarlijk voor gebruikers die anoniem wilden blijven, zoals journalisten en activisten. Via het lek zou namelijk hun (persoonlijke) e-mailadres op straat komen te liggen.
Kwetsbaarheid opgelost
De onderzoekers meldden het probleem op 24 september 2024 bij Google, maar aanvankelijk reageerde het bedrijf lauw op de melding. Volgens Google ging het om een ‘herhaling van een eerdere melding’. Pas toen bleek dat de ID’s via de Pixel Recorder API konden worden omgezet naar e-mailadressen, ondernam Google actie. De onderzoekers ontvingen ook een zogeheten bugbounty ter waarde van 10.633 dollar.
Wat het lek betreft, meldt Google dat de kwetsbaarheden in zowel YouTube als de Pixel Recorder API sinds 9 februari zijn verholpen. Het bedrijf zegt niet op de hoogte te zijn van gevallen van misbruik.
