Pratite nas preko RSS-aIstraživači otkrili da nijedan YouTube nalog nije privatan i da je moguće doći do email adresa svih korisnika YouTubea
Vesti, 13.02.2025, 13:00 PM
Google je sa 10.633 dolara nagradio istraživače bezbednosti koji su pokazali da na YouTubeu nema zaista privatnih naloga. Oni su otkrili da se uz pomoć relativno jednostavne eksploatacije sa Googlea može izvući email adresa bilo kog korisnika YouTubea.
Istraživač bezbednosti BruteCat, koji vodi blog pod nazivom brutecat.com, uspeo je da poveže nekoliko nedostataka u Google proizvodima kako bi došao do email adrese korisnika YouTubea.
Istraživač je primetio da YouTube otkriva Gaia ID, koji je jedinstveni identifikator za praćenje korisničkih naloga u svim Google uslugama. Jednostavnim pokušajem da blokira korisnika YouTubea, BruteCat je mogao da dobije naziv kanala i Gaia ID u odgovoru servera.
Štaviše, Gaia ID je uključen u odgovor servera kada se samo klikne na meni sa tri tačke, bez potrebe da se zapravo blokira ciljani kanal. Ovo bi moglo da se primeni na sve četiri milijarde YouTube kanala.
„Ovo mi je bilo veoma čudno jer YouTube nikada ne bi trebalo da otkrije Google nalog YouTube kanala“, navodi BruteCat u tekstu na blogu.
Druga faza je bila pretvaranje otkrivenih Gaia ID-ova u email adrese. Uz pomoć drugog istraživača bezbednosti Nejtana (schizo.org), BruteCat je počeo da istražuje stare Google proizvode tražeći dodatne nedostatke. Njih dvojica su otkrili da je Pixel Recorder vratio email adresu korisnika kada je zatraženo da podeli snimak.
Google je obavestio žrtvu mejlom svaki put kada su istraživači testirali ovu metodu. Međutim, istraživači su pronašli jednostavno rešenje i za to.
„Shvatili smo da ako je uključujen naslov našeg snimka u temu mejla, možda ne bi mogao da pošalje mejl ako je naš naslov snimka predugačak.“ Oni su izabrali naslov snimka sa 2,5 miliona slova „X“ i Google je prestao da upozorava korisnike.
Povezivanje ove tri greške omogućilo je istraživačima da dobiju imejl adresu bilo kog korisnika YouTubea, a da oni to ne primete.
BruteCat je odgovorno otkrio grešku Googleu 15. septembra 2024. i ubrzo je dobio pojašnjenje za deo problema. Google ga je nagradio sa samo 3.133 dolara, zbog srednje verovatnoće eksploatacije.
Nakon dodatnog objašnjenja istraživača, Google je priznao i drugu grešku koja utiče na Pixel Recorder i nagradio istraživače sa još 7.500 dolara.
Izdvojeno
Bivši menadžer za bezbednost optužuje WhatsApp: „Nismo imali ni osnovnu kontrolu nad korisničkim podacima“
Bivši šef bezbednosti WhatsApp-a, Ataula Bejg, podneo je tužbu protiv Mete i niza visokih rukovodilaca u kompaniji, optužujući ih za odmazdu nak... Dalje
Hakovani Gucci, Balenciaga i Alexander McQueen, ukradeni podaci kupaca
Poznata hakerska grupa ShinyHunters navodno je hakovala francuski konglomerat Kering, u čijem su vlasništvu brendovi Gucci, Balenciaga i Alexander M... Dalje
Hakeri manipulišu Google pretragom: malveri sakriveni u lažnim verzijama aplikacija Signal, WhatsApp i Chrome
Istraživači iz FortiGuard Labs-a otkrili su novu kampanju u kojoj sajber kriminalci manipulišu rezultatima pretrage da bi prevarili korisnike da pr... Dalje
Sajber kriminalci imaju novi alat za krađu Microsoft 365 i Google naloga
Istraživači iz Okta Threat Intelligence otkrili su novu platformu za onlajn prevare pod nazivom VoidProxy. U izveštaju objavljenom 11. septembra, i... Dalje
Apple upozorio korisnike na nove napade špijunskog softvera
Apple je upozorio korisnike da su njihovi uređaji meta nove serije napada špijunskog softvera. Apple je ove godine do sada poslao najmanje četiri s... Dalje
Pratite nas
Nagrade
Prijatelji
