Google, YouTube kullanıcılarının e-posta adreslerini ortaya çıkaran bir güvenlik açığını düzeltti. Bu ışık, potansiyel olarak, ciddi bir gizliliğin ihlaline yol açabilir. Bu gizlilik ihlali, araştırmacıların çabaları tarafından önlenmiştir.
Google ve YouTube'da “Leydi” açık
Mashable'a göre, BleepingComputer tarafından yayınlanan bir rapora dayanarak, “korkutucu” kelimelerin güvenliğinin kırılganlığı, bilgisayar güvenliği Brutecat ve Nathan araştırmacıları tarafından keşfedildi. YouTube'un sahibi Google, Brutecat ve Nathan tarafından keşfedilen güvenlik açıklarının çözüldüğünü doğruladı.
Tüm YouTube hesaplarını etkileyebilirdi
Gizliliğin ihlali tüm YouTube hesaplarını etkileyebilecek bir seviyedeydi. Bildiğiniz gibi, tartışmalı içerik üreticileri, araştırmacılar, muhbirler ve aktivistler gibi birçok YouTube kullanıcısı, kimliklerini güvenliklerini korumak için saklı tutar. Özellikle, bu kullanıcıların e-posta adreslerinin yayılmasının ciddi sonuçları olabilir.
YouTube açığı nasıl doğdu?
Brutetat, YouTube'daki bir kullanıcının bloğunun, Google'ın tüm platformlarda (Gmail, Google Drive, vb.) Kullanıcıları tanımlamak için kullandığı Gaia ID'nin benzersiz açıklamasını ortaya çıkardığını buldu.
Araştırmacıya göre, bir kullanıcının canlı sohbet profilindeki bir kullanıcının üç nokta menüsü olduğunda, YouTube bir API isteği gönderir ve bu istek kullanıcının kimliğini ortaya çıkarır. YouTube hesaplarının benzersiz kimlikleri yalnızca Google'ın dahili sistemleri tarafından kullanılması gerektiğinden, bu ciddi bir güvenlik açığının kendisi olarak kabul edilir.
Bununla birlikte, Brutetat bu Gaia kimliklerini almayı başardığında, bu kimlikler nedeniyle e-posta adreslerini açıp açamayacağını görmek istedi. Nathan ile birlikte, eski ve unutulmuş Google ürünlerinin bazı mantıklı hatalar veya kusurlar olabileceğini ve GAIA kimliğini bir e-posta adresine dönüştürebileceklerini düşündüler.
Bunu test etmek için Pixel Cihazları için Google Kaydedici Uygulamasını (Kayıt) kullandılar. Bilinçli olarak, bir GAIA kimliği ile gizli bir kayıt dosyası paylaştılar ve mekanizmayı göndermek için e-postayı incelediler. Kullanıcının bir bildirim almasını önlemek için, sistemin e-posta bildirimi sistemini kesintiye uğratmayı başardılar ve 2,5 milyon karakter adını verdiler.
Kullanıcı bildirimi gitmiyor
Bu şekilde, bir kullanıcının herhangi bir bildirim olmadan GAIA kimliğiyle ilişkili e-posta adresini yayınlamasına izin verdiler.
Google güvenlik açığını kapatmayı başardı
Neyse ki, iyi haberler var; Brutetat ve Nathan'ın araştırması sayesinde Google, bu güvenlik açığını kapattı ve YouTube hesaplarıyla ilişkili tüm e-posta adreslerinin bilgisayar korsanları tarafından yakalanmasını engelledi.
Güvenliğin kırılganlığı Eylül 2024'te Google'a bildirildi ve 9 Şubat 2025'te tamamen çözüldü. Google, BleepingComputer'a bir beyanda onaylandı, herhangi bir forvet bu boşluğu aktif olarak istismar etti, hiçbir işaret olmadığını gösteren bir işaret yok.
Araştırmacılar için 10.000 dolar
Araştırmacıların çalışmaları karşılığında 10.633 dolarlık bir ödül verildi.
