Google a corrigé deux vulnérabilités qui, lorsqu’elles étaient enchaînées, pouvaient exposer les adresses e-mail des comptes YouTube, provoquant une violation massive de la vie privée pour ceux qui utilisent le site de manière anonyme.
Les failles ont été découvertes par les chercheurs en sécurité Brutecat (brutecat.com) et Nathan (schizo.org), qui a découvert que les API YouTube et Pixel Recorder pouvaient être utilisées pour obtenir les identifiants Google Gaia des utilisateurs et les convertir en adresses e-mail.
La possibilité de convertir une chaîne YouTube en adresse e-mail d’un propriétaire représente un risque important pour la confidentialité des créateurs de contenu, des lanceurs d’alerte et des militants qui dépendent de l’anonymat en ligne.
API qui fuient
La première partie de la chaîne d’attaque, qui était exploitable pendant des mois, a été découverte après que BruteCat a parcouru l’API interne de Google People et a découvert que la fonction de « blocage » à l’échelle du réseau de Google nécessitait un identifiant Gaia obscurci et un nom d’affichage.
Un identifiant Gaia est un identifiant interne unique que Google utilise pour gérer les comptes sur son réseau de sites. Comme les utilisateurs s’inscrivent pour un seul « compte Google » utilisé sur tous les sites de Google, cet IDENTIFIANT est le même dans Gmail, YouTube, Google Drive et d’autres services Google.
Cependant, cet identifiant n’est pas destiné à être public et est destiné à un usage interne pour partager des données entre les systèmes de Google.
En jouant avec la fonction de blocage sur YouTube, BruteCat a découvert que lorsqu’il tentait de bloquer quelqu’un dans un chat en direct, YouTube exposait l’identifiant Gaia obscurci de la personne ciblée dans une réponse de la demande d’API /youtube/v1/live_chat/get_item_context_menu.
La réponse comprenait des données codées en base64 qui, une fois décodées, contenaient l’identifiant Gaia de cet utilisateur.
Les chercheurs ont découvert qu’un simple clic sur le menu à trois points dans une discussion déclenchait une demande en arrière-plan à l’API de YouTube, leur permettant d’accéder à l’identifiant sans avoir à les bloquer. En modifiant l’appel API, les chercheurs ont récupéré l’identifiant Gaia de n’importe quelle chaîne YouTube, y compris celles qui tentaient de rester anonymes.
Armés de l’identifiant Gaia, ils voulaient maintenant trouver un moyen de le convertir en adresse e-mail, ce qui augmenterait la gravité de la faille.
Cependant, les anciennes API qui pouvaient le faire étaient obsolètes ou ne fonctionnaient plus, alors BruteCat et Nathan ont commencé à rechercher d’anciens services Google obsolètes qui pourraient potentiellement encore être exploités.
Après avoir expérimenté, Nathan a découvert que Pixel Recorder disposait d’une API Web qui pouvait être utilisée pour convertir l’identifiant en e-mail lors du partage d’un enregistrement.
Cela signifiait qu’une fois l’identifiant Gaia d’un utilisateur YouTube obtenu, il pouvait être soumis à la fonction de partage Pixel Recorder, qui renvoyait ensuite l’adresse e-mail associée, compromettant potentiellement l’identité de millions d’utilisateurs de YouTube.
« Les identifiants Gaia sont divulgués sur plusieurs produits Google en dehors de YouTube (Maps, Play, Pay), ce qui pose un risque important pour la confidentialité de tous les utilisateurs de Google, car ils peuvent être utilisés pour révéler l’adresse e-mail liée au compte Google », ont déclaré les chercheurs à Breachtrace.
Alors que les chercheurs disposaient désormais d’un moyen d’obtenir une adresse e-mail de Gaia ID, le service a également informé les utilisateurs du fichier partagé, les alertant potentiellement de l’activité malveillante.
Comme l’e-mail de notification incluait le titre d’une vidéo dans la notification par e-mail, les chercheurs ont modifié leur demande pour inclure des millions de caractères dans les données du titre, ce qui a entraîné l’échec du service de notification par e-mail et n’a pas envoyé l’e-mail.
Les chercheurs ont révélé la faille à Google le 24 septembre 2024, et elle a finalement été corrigée la semaine dernière le 9 février 2025.
Google a d’abord répondu que la vulnérabilité était une copie d’un bogue précédemment suivi, n’attribuant qu’une prime de 3 133$. Cependant, après avoir démontré le composant d’enregistreur de pixels supplémentaire, ils ont augmenté la prime à 10 633$, citant une forte probabilité qu’elle soit exploitée.
BruteCat et Nathan ont déclaré à Breachtrace que Google avait atténué les bogues en corrigeant la fuite d’identifiant Gaia et la faille d’identifiant Gaia vers Email via Pixel Recorder. Google a également fait en sorte que le blocage d’un utilisateur sur YouTube n’affecte que ce site et n’affecte pas les autres services.
Google a confirmé à Breachtrace que les mesures d’atténuation des bogues sont maintenant terminées et qu’il n’y a aucun signe qu’un attaquant ait activement exploité les failles.