شرکت گوگل دو آسیبپذیری جدید را برطرف کرده است که در صورت ترکیب، میتوانستند آدرس ایمیل حسابهای یوتیوب را افشا کرده و حریم خصوصی کاربران ناشناس را به خطر بیندازند.
این آسیبپذیریها توسط محققان امنیتی کشف شد که متوجه شدند با استفاده از Pixel Recorder و APIهای یوتیوب میتوانند شناسههای گایا (Gaia ID) کاربران را استخراج کرده و آن را به آدرس ایمیل تبدیل کنند.
توانایی تبدیل یک کانال یوتیوب به آدرس ایمیل صاحب آن، خطر بزرگی برای حریم خصوصی افرادی است که به صورت ناشناس در فضای یوتیوب فعالیت می کنند.
شناسه گایا یک شناسه داخلی منحصر به فرد است که شرکت گوگل برای مدیریت حسابها در شبکه خود از آن استفاده میکند. از آنجایی که کاربران با ساخت یک «حساب گوگل» امکان فعالیت در تمام وبسایتهای گوگل را دارند، این شناسه در Gmail، یوتیوب، گوگل درایو و سایر خدمات گوگل یکسان است.
با این حال، این شناسه عمومی نیست و برای استفاده داخلی به منظور به اشتراکگذاری دادهها بین سیستمهای گوگل مورد استفاده قرار میگیرد.
محققان امنیتی پس از بررسی اعلام کردند که شناسههای گایا نهتنها در یوتیوب، بلکه در سایر سرویسهای گوگل مانند نقشهها، پلی استور و پرداخت گوگل نیز فاش میشوند. این مسئله یک خطر جدی برای حریم خصوصی کاربران ایجاد میکند، زیرا از این شناسهها میتوان برای دستیابی به آدرس ایمیل مرتبط با حساب گوگل استفاده کرد. محققان این نقص را در ۲۴ سپتامبر ۲۰۲۴ به گوگل گزارش دادند و در نهایت، این نقص امنیتی در ۹ فوریه ۲۰۲۵ برطرف شد.
گوگل ابتدا اعلام کرد که این آسیبپذیری تکراری بوده و قبلاً شناسایی شده است، بنابراین تنها ۳,۱۳۳ دلار به عنوان جایزه پرداخت کرد. اما پس از اینکه محققان بخش جدیدی از این نقص را به گزارش خود اضافه کردند، این مبلغ به ۱۰,۶۳۳ دلار افزایش یافت و گوگل احتمال بالای سوءاستفاده از آن را تأیید کرد.
گوگل در نهایت تأیید کرد که این آسیبپذیریها برطرف شدهاند و هیچ نشانهای از سوءاستفاده فعال از آنها مشاهده نشده است.
توضیحات بیشتر:
- Google fixes flaw that could unmask YouTube users' email addresses