اكتشاف ثغرة في Google كشفت مليارات عناوين البريد الإلكتروني لمستخدمي YouTube
⬤ بمساعدة باحثين، أصلحت Google ثغرتَين خطيرتَين أتاحتا كشف عناوين البريد الإلكتروني لمستخدمي YouTube.
⬤ استغل الباحثان ثغرات في YouTube وPixel Recorder لتحويل معرفات Gaia الخاصة إلى عناوين بريد إلكتروني.
⬤ مع الانتقادات، رفعت Google مكافأة الباحثين إلى 10,633 دولاراً بعد إدراك خطورة الاستغلال ومعالجة الثغرة كلياً.
عالجت Google ثغرة أمنية خطيرة هددت خصوصية مستخدمي YouTube بكشف عناوين بريدهم الإلكتروني. وقد اكتشف هذه الثغرة باحثا الأمن السيبراني Brutecat (brutecat.com) وNathan (schizo.org)، وكافأتهما الشركة بمبلغ 10,633 دولاراً لقاء الكشف المسؤول عن المشكلة.
تعود جذور هذه الثغرة إلى خللين رئيسيين؛ يتمثل أولهما في كشف معرفات Gaia الخاصة بمستخدمي Google من خلال ميزة المحادثة المباشرة في YouTube، والثاني يكمن في إمكانية تحويل هذه المعرفات إلى عناوين بريد إلكتروني عبر استغلال واجهة برمجية قديمة في Pixel Recorder.
معرفات Gaia عبارة عن رموز تعريفية داخلية تستخدمها Google لإدارة الحسابات عبر منظومتها، بما يشمل Gmail وYouTube وGoogle Drive وخدمات أخرى، وهي غير مخصصة للنشر الخارجي.
اكتشف Brutecat أن محاولة حظر مستخدم من خلال محادثة YouTube المباشرة تؤدي إلى استجابة من الخادم تحتوي على معرف Gaia مشفر للمستخدم المستهدف. كما أن هذا المعرف كان يظهر أيضاً عند النقر على قائمة النقاط الثلاث في نافذة المحادثة، حتى دون إتمام عملية الحظر.
بعد الحصول على معرف Gaia، حاول الباحثان إيجاد طريقة لتحويله إلى عنوان بريد إلكتروني، وهو ما أصبح ممكناً عبر استغلال واجهة Pixel Recorder القديمة، بعد أن اكتشف Nathan إمكانية التلاعب بميزة المشاركة في Pixel Recorder لإرجاع عنوان البريد الإلكتروني المرتبط بمعرف Gaia.
رغم أن واجهة Pixel Recorder البرمجية تضمنت آلية حماية مدمجة، إذ كانت ترسل إشعارات عبر البريد الإلكتروني للمستخدمين عند مشاركة تسجيلاتهم، تمكن الباحثان من تجاوز هذا الإجراء بابتكار حيلة ذكية. فقد قاما بتعيين عنوان التسجيل ليحتوي على 2.5 مليون حرف، مما أدى إلى إرباك نظام الإشعارات ومنعه من إرسال أي تنبيه للمستخدمين المستهدفين. وبذلك، تمكن الباحثان من استرجاع عناوين البريد الإلكتروني دون لفت انتباه أصحابها.
أبلغ الباحثان Google عن هذه الثغرة في 24 سبتمبر 2024. وبادئ الأمر، صنفت الشركة المشكلة على أنها تكرار لثغرة سابقة، ومنحت مكافأة قدرها 3,133 دولاراً، معتبرة أن احتمال استغلالها متوسط. لكن بعد أن أوضح الباحثان أن الثغرة تتضمن استغلالاً إضافياً لواجهة Pixel Recorder، أدركت Google خطورة المشكلة ورفعت قيمة المكافأة إلى 10,633 دولاراً.
عالجت Google الثغرات المكتشفة عبر إصلاح تسريب معرفات Gaia في YouTube، بالإضافة إلى سد الثغرة التي سمحت بتحويل هذه المعرفات إلى عناوين بريد إلكتروني عبر Pixel Recorder. كما أدخلت الشركة تعديلات لضمان اقتصار ميزة حظر المستخدمين في YouTube على المنصة نفسها دون التأثير على بقية خدمات Google. وأكدت الشركة اكتمال جميع الإصلاحات، مشيرة إلى عدم وجود أي دليل على استغلال الثغرة من قبل جهات خبيثة.
أثار الكشف عن هذه الثغرة جدلاً واسعاً، حيث رأى مراقبون أن Google لم تكافئ الباحثين بما يتناسب مع خطورة المشكلة، نظراً لحجم التهديد الذي شكله الخلل على خصوصية المستخدمين. كما سلطت الثغرة الضوء على المخاطر الناجمة عن ترابط خدمات Google المختلفة، خاصة بالنسبة لمنشئي المحتوى والنشطاء الحريصين على إخفاء هويتهم.
