- Bei der Untersuchung interner Dokumentation zur People API von Google wurde festgestellt, dass beim Blockieren von Nutzern eine „verschleierte Gaia-ID“, die als „Profil-ID“ bezeichnet wird, sowie ein „Alternativname“ verwendet werden
- Es wurde bestätigt, dass beim Blockieren eines anderen Nutzers auf YouTube dessen Gaia-ID unter
https://myaccount.google.com/blocklist angezeigt und dadurch offengelegt werden kann
- Diese Gaia-ID ist ein Identifikator für Google-Konten, wodurch sich die Möglichkeit ergab, die E-Mail-Adresse eines Nutzers herauszufinden
Auf alle YouTube-Kanäle ausweitbar
- Es wurde untersucht, ob sich diese Information nicht nur für Nutzer im Live-Chat, sondern für alle YouTube-Kanäle abrufen lässt
- Es wurde entdeckt, dass beim Klick auf das Menü „Mehr“ eines Kanals auf YouTube eine bestimmte Anfrage ausgelöst wird und diese Anfrage die Gaia-ID des Kanals enthält
- Damit wurde bestätigt, dass sich über diese Anfrage die Gaia-ID eines Kanals beschaffen lässt
E-Mail-Adresse über Pixel Recorder ermitteln
- Es wurde getestet, ob sich die Gaia-ID über ein Google-Produkt namens Pixel Recorder in eine E-Mail-Adresse umwandeln lässt
- Beim Teilen einer Aufnahme wurde bestätigt, dass nach Eingabe der Gaia-ID des Empfängers dessen E-Mail-Adresse zurückgegeben wird
- Dadurch wurde bestätigt, dass sich eine Gaia-ID in eine E-Mail-Adresse umwandeln lässt
E-Mail-Adresse ohne Benachrichtigung der Zielperson ermitteln
- Beim Teilen einer Aufnahme trat das Problem auf, dass eine Benachrichtigungs-E-Mail an die Zielperson gesendet wurde
- Es wurde eine Umgehungsmethode gefunden: Der Titel der Aufnahme wurde extrem lang gesetzt, sodass keine Benachrichtigungs-E-Mail versendet wurde
Die vollständige Angriffskette
- Abruf der Gaia-ID eines Kanals über den YouTube-Endpunkt
/get_item_context_menu
- Verwendung von Pixel Recorder, um eine Aufnahme mit extrem langem Titel mit der Zielperson zu teilen und so die Gaia-ID in eine E-Mail-Adresse umzuwandeln
- Entfernen der Zielperson aus der Freigabeliste, um Spuren zu beseitigen
Meldung und Belohnung
-
- September 2024: Die Schwachstelle wurde an Google gemeldet
-
- September 2024: Google bestätigte den Eingang der Meldung und gab das Feedback „Nice catch!“
-
- November 2024: Das Google-Sicherheitspanel entschied über eine Belohnung von 3.133 US-Dollar
-
- Dezember 2024: Zusätzlich wurden 7.500 US-Dollar ausgezahlt, wodurch sich die Gesamtbelohnung auf 10.633 US-Dollar erhöhte
-
- Februar 2025: Die Schwachstelle wurde veröffentlicht
1 Kommentare
Hacker-News-Kommentare
Ich fand diesen Titel irreführend. Für alle, die den Artikel nicht zu Ende gelesen haben: Die offengelegte E-Mail hat sie nichts gekostet, und sie haben eine Bug-Bounty von 10.000 Dollar erhalten
In diesem Thread steht in jeder dritten Nachricht, dass Google für diesen Bug zu wenig bezahlt hat. Ein paar Grundlagen zur Bewertung von Schwachstellen:
Die Auszahlung einer Bounty ist im Allgemeinen keine Bewertung der Kreativität oder Interessantheit eines Bugs. Aber hier wirken 10.000 Dollar für einen serverseitigen Web-Bug sehr hoch
Die Geschäftsstrategie von Leuten, die diese Art von Bugs finden, besteht darin, viele Bugs zu finden. Es ist nicht wie bei der Entwicklung von iOS-Exploits, wo man Monate in einen einzelnen Exploit investiert
Das ähnelt der Schwachstellenforschung, die ich in meiner letzten beruflichen Station gemacht habe. Aber falls das jemand professionell macht, würde ich gern dessen Meinung hören
Es gibt viel Gerede über Responsible Disclosure, ihre Motivation und ihre Belohnung. Aber keine Geschichten als Gegenbeispiel zu zentralisierter, dauerhafter Identität
Jedes Mal, wenn ich einen Dienst sehe, der behauptet, nur mit einer einzigen Verknüpfung zu Real Identity™ zu funktionieren, erinnert mich das daran, dass Anbieter eigentlich kein Interesse daran haben, Nutzer wirklich zu schützen
Stellen Sie sich vor, man wäre nur noch ein paar Schritte davon entfernt, Personen, die auf YouTube interagieren, sofort zu enttarnen. Das ist die tatsächliche Auswirkung dieses Bugs
Es ist gut, dass dieser Bug behoben wurde, aber es wirkt nicht so, als würden Bugs dieser Art bald verschwinden. Was müsste passieren, damit Anbieter und große Unternehmen erkennen, dass solche Designs riskant sind?
Großartige Entdeckung! Eine Schwachstelle in einem so bekannten Dienst zu finden, macht sich im Lebenslauf sehr gut. Glückwunsch
„Wegen der für die Angriffskette erforderlichen Komplexität wurde gegenüber dem Grundbetrag eine Abstufung um eine Stufe angewendet“ – ist das üblich?
Ich habe nur an einigen wenigen Schwachstellenprogrammen teilgenommen, aber die meisten zahlen weniger, wenn der Sicherheitsfehler sehr einfach ist
Ein Kommentator hat bereits erklärt, wie sich die Höhe der Bounty zum Schwarzmarktwert verhält. Jetzt könnten viele denken, Google nehme Sicherheit nicht ernst genug
Aus Sicherheitsgründen sollte man so wenig wie möglich zahlen. Wenn man mehr zahlt, steigt der Anreiz, Bugs zu finden, und möglicherweise wächst auch der Schwarzmarkt
Die GTO-Strategie besteht darin, den Schwarzmarkt mit möglichst wenig Geld zu verdrängen
Ich suchte bei Google nach Forschungszielen und untersuchte die Dokumentation zu Internal People API (Staging). Sollte das öffentlich zugänglich sein?
Ich wünschte, es gäbe eine Möglichkeit, E-Mails an Eigentümer von YouTube-Kanälen zu senden. Die meisten haben keine E-Mail-Kontaktadresse, und es ist schwer, sie wegen Sponsoring oder anderer Geschäfte zu erreichen
Ich frage mich, ob Google Sicherheitslücken offenlegt, wenn sie nicht innerhalb von 90 Tagen behoben werden. In diesem Fall wurde sie erst nach 147 Tagen behoben
Zu verhindern, dass das E-Mail-System Nachrichten versendet, ist ein zusätzliches Problem. Ein großes Unternehmen wie Google hat viele Produkte entwickelt, aber „Sicherheit“ wirkt irgendwie unecht. Jede einzelne Codezeile kann eine potenzielle Schwachstelle sein