Bleeping Computerは2月12日(米国時間)、「Google fixes flaw that could unmask YouTube users' email addresses」において、YouTubeからユーザーのメールアドレスが漏洩する不具合が発見されたと報じた。

これはセキュリティ研究者のBrutecat氏およびNathan氏により発見された。詳細は「Leaking the email of any YouTube user for $10,000」にて公開されているが、この不具合はすでに修正されている。

  • Google fixes flaw that could unmask YouTube users' email addresses

    Google fixes flaw that could unmask YouTube users' email addresses

メールアドレス漏洩の概要

Googleはすべてのサービスに共通のユーザー識別子として「GAIA(Google Accounts and ID Administration) ID」を使用している。このIDは数値のみで構成されているが、研究者はGoogle Pixelのレコーダーアプリに関連するWebAPIを使用することでメールアドレスに変換できることを発見した。

攻撃を実施するには最初に標的のGAIA IDを取得する必要があるが、研究者はYouTubeの三点リーダーをクリックしたときに発行されるリクエストを分析し、パラメーターを偽装することで取得できることを発見。これらを組み合わせることで、YouTubeチャネルIDからGAIA IDを取得し、GAIA IDからメールアドレスを取得することに成功した。

通知の問題を回避

研究者はこの攻撃のテスト中に、レコーダーアプリの録音の共有が被害者に通知されることを確認している。このままでは被害者に気づかれるため、攻撃としては不完全なものとなる。しかしながら、録音タイトルの長さに制限がなく、非常に長いタイトルを指定すると通知を妨害できることを発見し、この問題も回避している。

研究者はこれらを組み合わせた概念実証(PoC: Proof of Concept)コードを実装し、実験した動画を公開していたが、YouTubeの規約違反として削除されている。しかしながらGoogleは研究者の功績を認め、10,633ドルを授与したとされる。

発見された不具合は2024年9月15日に報告され、2025年2月9日までにGoogleにより修正された。Googleは不具合が積極的に悪用された形跡はないことを明らかにしている。