Когда речь заходит о конфиденциальности пользователей на YouTube, мы привыкли к тому, что Google надёжно скрывает наши настоящие адреса электронной почты за «фасадом» публичных каналов. Однако свежий кейс продемонстрировал нестандартную цепочку уязвимостей, позволяющую вычислить email практически любого владельца YouTube-канала. За неё исследователю в итоге заплатили 10 000 долларов. Эта история наглядно показывает, как внутренние ID, забытые сервисы и странные методы обхода могут объединиться в мощный эксплойт — если их вовремя не обнаружить.
🔎 Взгляд «изнутри»: что такое обфусцированный Gaia ID?
У каждого Google-аккаунта есть уникальный идентификатор, называемый Gaia ID. Когда вы создаёте канал YouTube, сервис старается скрывать прямую связь между каналом (с публичным channelId) и вашим Gaia ID, поскольку, имея в руках Gaia ID, потенциально можно вычислить сам email.
Однако в данном кейсе выяснилось, что внутри YouTube действуют механизмы блокировки пользователей по их Gaia ID, причём эту информацию можно извлечь по косвенным признакам через некоторые запросы.
🏷️ Шаг 1: утечка обфусцированного Gaia ID с YouTube
Изначально исследователь заметил любопытную особенность: когда вы блокируете человека в чате YouTube (например, во время прямой трансляции), система записывает в ваш Google-аккаунт информацию о блоке, включая обфусцированный Gaia ID того, кого вы блокируете. Казалось бы, ничего страшного: это внутренняя логика «черных списков». Но стоило копнуть глубже — и оказалось, что не обязательно доводить процесс до реального «блокирования»: некоторые запросы к API YouTube (например, get_item_context_menu) уже содержат Gaia ID пользователя, если подменить channelId в строке в формате Base64 с данными в ProtoBuf. Таким образом, можно получить обфусцированный идентификатор любого канала — не только участника текущего чата.
🔧 Шаг 2: использование «забытого» Pixel Recorder
Следующий этап эксплойта связан с сервисом Pixel Recorder — приложением для записи голоса и транскрибации на смартфонах Pixel. Веб-интерфейс этого приложения (на сайте recorder.google.com) предоставляет возможность «делиться» записями с другими пользователями, указывая их обфусцированный Gaia ID. И если в ответе сервера возвращался расшифрованный email, это означало, что сервис фактически «превращал» переданный Gaia ID в реальный адрес электронной почты.
То есть:
👉 Получаем Gaia ID канала через нестандартный YouTube-запрос.
👉 Отправляем запрос на сервер Pixel Recorder с параметром обфусцированного Gaia ID.
👉 В ответ сервис выдаёт нам email (даже если владелец канала не давал согласия).
✉️ Шаг 3: нейтрализация «уведомления жертве»
Казалось бы, есть одно препятствие: при совместном использовании записи Pixel Recorder обычно отправляет на почту пользователя уведомление. Это могло выдать злоумышленника и серьёзно понизить «опасность» уязвимости. Однако обнаружился интересный трюк: если в названии записи задать невероятно длинное имя (миллионы символов), сервер Google не смог корректно сформировать письмо, и уведомление попросту не уходило.
Фактически:
🚫 Никаких всплывающих писем-оповещений,
🚫 Никакой информации, что аккаунт пытался «поделиться» записью.
Таким образом, владелец YouTube-канала ничего не замечал.
🔗 Итоговая «цепочка атаки» выглядела так:
🍒 Получить обфусцированный Gaia ID целевого канала (через YouTube прямая трансляция с использованием API или поддельный запрос get_item_context_menu).
🍒 Сформировать хитрый запрос в Pixel Recorder, подставив извлечённый Gaia ID, чтобы получить реальный адрес email.
🍒 Избежать уведомлений жертве, искусственно «сломав» формат письма длинным заголовком записи.
🍒 Удалить жертву из списка совместного использования, чтобы не оставлять лишних следов.
В результате исследователь доказал, что может преобразовать любой YouTube-канал — от обычного личного блога до корпоративного аккаунта — в реальный email-адрес.
🤔 Личное мнение и интересные детали
Во-первых, поражает, насколько «многослойной» оказалась эта уязвимость. Здесь сочетаются:
🔐 Слабые места в публичных методах YouTube, когда обфусцированный ID выплывает даже без реального блокирования.
🔎 Забытый, но рабочий сервис Pixel Recorder, который не проверяет, кто именно пытается поделиться записью.
⚙️ Изящный обход уведомлений, используя исключительно длину имени файла.
Во-вторых, это отлично иллюстрирует, как «небольшие» уязвимости в разных системах складываются в один серьёзный эксплойт. Google уже вносил правки, чтобы защитить Gaia ID, но не покрыл целиком все сервисы. А Pixel Recorder — типичный пример «legacy-продукта», который остался за кадром основных проверок безопасности.
💰 Награда и реакция Google
Исследователь сообщил об уязвимости через программу баг-баунти. Изначально оценка была $3 133, но по результатам дальнейших расследований и с учётом более высокой вероятности эксплуатации Google повысил выплату до $7 500, а затем суммарно вознаграждение достигло $10 000. Судя по публичному таймлайну, на окончательную доработку защиты и согласование условий раскрытия ушло почти полгода.
🗓️ Хронология (Timeline)
Чтобы оценить масштабы и скорость реакции, исследователь опубликовал основные этапы:
🗓️ 15/09/24 – Отправка отчёта в Google.
🗓️ 16/09/24 – Ответ от вендора: «Принято на проверку, интересная находка!»
🗓️ 03/10/24 – Первое решение: частичное «заплатки» на YouTube, но «Pixel Recorder» в поле зрения не попадает.
🗓️ 05/11/24 – Присуждение $3 133 за среднюю вероятность эксплуатации.
🗓️ 03/12/24 – Команда продукта пересматривает решение и поднимает награду до $7 500.
🗓️ 29/01/25 – Перенос даты раскрытия на 12/02/2025.
🗓️ 09/02/25 – Подтверждение устранения всех элементов уязвимости.
🗓️ 12/02/25 – Публичная публикация отчёта.
🎯 Итоги
Данный случай демонстрирует, как несколько разрозненных сервисов — YouTube, блокировка в реальном времени и Pixel Recorder — могут создавать «дыры» в безопасности, если не обеспечить их согласованную защиту. Одновременно он показывает, насколько изобретательны бывают исследователи, улавливающие несостыковки в работе API.
Совет: всегда проверяйте, куда могут «просачиваться» внутренние идентификаторы ваших пользователей. И если есть сомнения, что какой-то обфусцированный ID может быть восстановлен в реальный email, лучше закрыть этот вектор до того, как им воспользуются злоумышленники.
Ссылки по теме:
- Pixel Recorder — «забытый» сервис, помогший «материализовать» почту из Gaia ID