شركة جوجل أصلحتثغرتين أمنيتين، عندما يتم استغلالهما معًا، يمكن أن تؤديا إلى كشف عناوين البريد الإلكتروني لحسابات يوتيوب، مما يشكل خرقًا خطيرًا للخصوصية، خاصة لأولئك الذين يستخدمون المنصة بشكل مجهول، حيث اكتشف باحثون أن واجهات برمجة التطبيقات (APIs) الخاصة بيوتيوب ومسجل Pixel يمكن استغلالها للحصول على معرّفات Gaia الخاصة بحسابات جوجل، ومن ثم تحويلها إلى عناوين البريد الإلكتروني للمستخدمين.
تُعد القدرة على ربط قناة يوتيوب ببريد صاحبها مخاطرة كبيرة على الخصوصية، خصوصًا لمنشئي المحتوى والمبلغين عن الفساد والنشطاء الذين يعتمدون على إخفاء هوياتهم.
استغلال واجهات برمجة التطبيقات المكشوفة (Leaky APIs)
كان الجزء الأول من سلسلة الهجوم متاحًا للاستغلال لعدة أشهر، حيث اكتشف Brutecat أن ميزة الحظر داخل شبكة جوجل تعتمد على معرّف Gaia مشفر واسم العرض.معرّف Gaia هو معرف داخلي فريد تستخدمه جوجل لإدارة الحسابات عبر خدماتها مثل Gmail ويوتيوب وجوجل درايف، ولا يُفترض أن يكون عامًا، حيث يُستخدم داخليًا فقط لمشاركة البيانات بين أنظمة جوجل المختلفة،لكن الباحثين وجدوا أنه عند محاولة حظر شخص ما في دردشة يوتيوب المباشرة، يتم كشف معرّف Gaia المشفر للمستخدم المستهدف من خلال طلب API مخفي من واجهة /youtube/v1/live_chat/get_item_context_menu.كان الرد على هذا الطلب يتضمن بيانات مشفرة بصيغة Base64، وبمجرد فك تشفيرها، يمكن الوصول إلى معرّف Gaia الخاص بالمستخدم.
الأمر الأكثر خطورة، هو أن مجرد النقر على زر القائمة الثلاثية في الدردشة كان يرسل طلبًا تلقائيًا إلى API، مما يسمح للباحثين بالحصول على المعرّف دون الحاجة إلى تنفيذ عملية الحظر فعليًا.
بعد الحصول على معرّف Gaia، بدأ الباحثون في البحث عن طريقة لتحويله إلى عنوان بريد إلكتروني، مما يزيد من خطورة الثغرة.
تحويل معرّف Gaia إلى عنوان البريد الإلكتروني
واجه الباحثون مشكلة أن واجهات برمجة التطبيقات القديمة التي كانت تسمح بتحويل معرّف Gaia إلى بريد إلكتروني لم تعد تعمل، مما دفعهم إلى البحث عن خدمات قديمة لا تزال عرضة للاستغلال.اكتشف Nathan أن واجهة Pixel Recorder على الويب يمكن استغلالها لهذا الغرض عند استخدام ميزة مشاركة التسجيلات.
كيف تم استغلال الثغرة؟
بمجرد الحصول على معرّف Gaia من يوتيوب، كان يمكن إرساله إلى ميزة مشاركة التسجيلات في Pixel Recorder، والتي تقوم بدورها بإرجاع عنوان البريد الإلكتروني المرتبط بالحساب.أوضح الباحثون لـBleepingComputer أن تسرب معرّفات Gaia لا يقتصر فقط على يوتيوب، بل يمتد إلى خدمات أخرى مثل Google Maps وGoogle Play وGoogle Pay، مما يشكل خطرًا كبيرًا على خصوصية جميع مستخدمي جوجل، حيث يمكن استخدام هذه المعرفات للكشف عن عناوين البريد الإلكتروني المرتبطة بحسابات جوجل.
ورغم أن ميزة مشاركة التسجيلات كانت ترسل إشعارًا بالبريد الإلكتروني إلى المستخدم المستهدف عند مشاركة ملف معه، إلا أن الباحثين وجدوا طريقة لإيقاف هذه الإشعارات.عن طريق إدخال ملايين الأحرف في عنوان الملف المرسل، تسببوا في فشل نظام الإشعارات، مما منع إرسال البريد الإلكتروني التنبيهي للضحية، مما جعل الهجوم غير مكشوف.
إصلاح الثغرة ورد فعل جوجل
أبلغ الباحثون عن الثغرة إلى جوجل في 24 سبتمبر 2024، وتم إصلاحها أخيرًا في 9 فبراير 2025.في البداية، اعتبرت جوجل أن المشكلة كانت مكررة لثغرة تم الإبلاغ عنها سابقًا، وقدمت مكافأة بقيمة 3,133 دولارًا فقط. لكن بعد أن عرض الباحثون عنصر Pixel Recorder في الهجوم، رفعت جوجل المكافأة إلى 10,633 دولارًا، مشيرةً إلى أن هناك احتمالية عالية لاستغلال الثغرة من قبل المهاجمين.أكد الباحثون أن جوجل أصلحت الثغرة عن طريق منع تسريب معرّف Gaia وإغلاق الثغرة في Pixel Recorder، كما قامت بتعديل ميزة حظر المستخدمين في يوتيوب بحيث لا تؤثر على الخدمات الأخرى.
وقد أكدت جوجل لموقع BleepingComputer أنها أتمت إصلاح جميع الثغرات ذات الصلة، ولم تجد أي دليل على استغلالها من قبل قراصنة أو جهات ضارة.
