Google ha corregido dos vulnerabilidades presentes en sus servicios que permitÃan conseguir la dirección de correo electrónico de cuentas de YouTube, incluso de usuarios anónimos.
El identificador (ID) de Gaia es el sistema que administra las ID únicas de cada usuario para todos los productos de Google, es decir, es la misma en Gmail, Drive, YouTube y otros servicios. Es un dato que la compañÃa comparte con sus sistemas de manera interna, sin embargo, durante meses ha permitido conocer los correos electrónicos asociados a los usuarios.
El proceso comienza en YouTube, desde donde se puede bloquear a un usuario y hacer que este bloqueo esté activo en varios de los servicios de Google, algo posible desde un chat en vivo o en la bandeja de entrada de notificaciones.
En este caso, el investigador conocido como Brutecat, utilizando una API de YouTube, accedió al ID de Gaia ofuscado de un usuario que habÃa bloqueado desde el chat en vivo en un 'streaming' cualquiera, identificado junto con su canal de YouTube.
Junto con Nathan, otro investigador, amplió el análisis a las API de servicios de Google que pudieran tener algún error no corregido, por ejemplo, los que habÃan quedado obsoletos, y permitir averiguar el 'email' de una persona a partir de un ID de Gaia.
AsÃ, llegaron a la Grabadora de Pixel, que almacena las copias de seguridad de las grabaciones en la web https://recorder.google.com, con una API web que servÃa para su propósito.
AquÃ, Nathan realizó una grabación desde su dispositivo Pixel y la sincronizó en su cuenta de Google para que apareciera en dicha web. Al intentar compartir esta grabación con un correo que tenÃan de prueba, la API devolvió el correo electrónico vinculado con el ID de Gaia.
Entonces, ambos decidieron vincular estos dos errores y desde la API web de la Grabadora, introducir el ID de Gaia de un usuario previamente bloqueado en YouTube, lo que mostró el correo electrónico de esta persona.
Esta acción, sin embargo, envÃa una notificación al correo de la vÃctima, si bien los investigadores resolvieron este problema al compartir la grabación con un nombre extremadamente largo (en su prueba, de 2,5 millones de letras).
Estos fallos se han parcheado en febrero, aunque se identificaron en septiembre d año pasado. Google ha recompensado a los investigadores con 10.633 dólares (unos 10.258 euros al cambio).
