Google with a red starburst

グーグルは、2つの脆弱性を修正した。この脆弱性が連鎖すると、YouTubeアカウントの電子メールアドレスが公開され、匿名でYouTubeを利用しているユーザーの大規模なプライバシー侵害を引き起こす可能性がある。

この欠陥は、セキュリティ研究者のBrutecat(brutecat.com)とNathan(schizo.org)によって発見されたもので、YouTubeとPixel RecorderのAPIが、ユーザーのGoogle Gaia IDを取得し、メールアドレスに変換するために使用できることを発見した。

YouTubeチャンネルを所有者の電子メールアドレスに変換する機能は、コンテンツ制作者、内部告発者、オンライン上の匿名性に依存する活動家にとって重大なプライバシーリスクである。

APIのリーク

攻撃チェーンの最初の部分は、数ヶ月間悪用可能であったが、BruteCatがGoogleのInternal People APIを調べ、Googleのネットワーク全体の「ブロック」機能が難読化されたGaia IDと表示名を必要とすることを発見した後に発見された。

ガイアIDとは、グーグルがサイト・ネットワーク全体のアカウントを管理するために使用する、ユニークな内部識別子である。ユーザーはグーグルの全サイトで使用される単一の「グーグルアカウント」に登録するため、このIDはGmail、YouTube、グーグルドライブ、その他のグーグルのサービスを通じて同じである。

しかし、このIDは公開されることを意図しておらず、グーグルのシステム間でデータを共有するための内部使用となっている。

BruteCatは、YouTubeのブロック機能を使って遊んでいたところ、ライブチャットで誰かをブロックしようとすると、YouTubeが/youtube/v1/live_chat/get_item_context_menuAPIリクエストのレスポンスの中に、対象となる人物の難読化されたGaia IDを公開してしまうことを発見した。

このレスポンスにはbase64でエンコードされたデータが含まれており、デコードするとそのユーザーのGaia IDが含まれていた。

Response from the YouTube API
YouTube APIからのレスポンス

研究者たちは、チャットの3点メニューをクリックするだけで、YouTubeのAPIへのバックグラウンドリクエストがトリガーされ、ブロックすることなくIDにアクセスできることを発見した。APIコールを変更することで、研究者たちは、匿名を試みているものも含め、あらゆるYouTubeチャンネルのガイアIDを取得した。

ガイアIDを手に入れた研究者たちは、今度はそれを電子メールアドレスに変換する方法を考えようとした。

ブルートキャットとネイサンは、まだ悪用できる可能性のある古いグーグルのサービスを探し始めた。

実験の結果、ネイサンはPixel RecorderにウェブベースのAPIがあり、それを使って録画を共有する際にIDをメールに変換できることを発見した。

Using Pixel Recorder API to convert Gaia ID to an email address
Pixel Recorder APIを使ってGaia IDをメールアドレスに変換する

つまり、YouTubeユーザーのGaia IDを入手すると、それをPixel Recorderの共有機能に送信し、関連するメールアドレスを返すことができ、何百万人ものYouTubeユーザーの身元を危険にさらす可能性があった。

“ガイアIDは、YouTubeだけでなく、いくつかのGoogle製品(マップ、プレイ、ペイ)に流出しており、Googleアカウントに関連付けられた電子メールアドレスを明らかにするために使用することができるため、すべてのGoogleユーザーに重大なプライバシーリスクを引き起こしている “と研究者は語った。

研究者は現在、Gaia IDから電子メールアドレスを取得する方法を持っていた一方で、サービスはまた、潜在的に悪意のある活動を警告し、共有ファイルのユーザーに通知されます。

通知メールには動画のタイトルが含まれていたため、研究者はタイトルデータに数百万文字を含めるようリクエストを修正したところ、メール通知サービスが失敗し、メールが送信されなくなった。

研究者らは2024年9月24日にこの欠陥をグーグルに開示し、最終的に先週2025年2月9日に修正された。

グーグルは当初、この脆弱性は以前に追跡されたバグと重複していると回答し、3,133ドルの報奨金しか与えなかった。しかし、追加のPixel Recorderコンポーネントのデモを行った後、悪用される可能性が高いとして、懸賞金を10,633ドルに増額した。

BruteCatとNathanは、GoogleがPixel Recorderを介してGaia IDの漏洩とGaia IDからEmailへの不具合を修正することでバグを緩和したと伝えた。グーグルはまた、ユーチューブでユーザーをブロックしても、そのサイトのみに影響し、他のサービスには影響しないようにした。

グーグルは、バグの緩和が完了し、攻撃者が積極的に欠陥を悪用した形跡がないことを確認している。