Deux chercheurs ont découvert un duo de vulnérabilités sur YouTube. Les failles se situent dans les API YouTube et Pixel Recorder, les interfaces logicielles permettant aux développeurs d’interagir avec des services Google. Combinées dans une chaine d’attaques, les brèches sont susceptibles de mettre en grand danger la vie privée des internautes.
En exploitant la première faille, un attaquant va pouvoir mettre la main sur l’identifiant Google Gaia de l’utilisateur. Il s’agit du système de gestion d’identités utilisé par Google pour authentifier ses utilisateurs sur ses différents services, dont YouTube, Gmail ou encore Google Drive. Il n’est pas censé être public, mais se cantonne aux services internes de Google.
À lire aussi : Google corrige une faille Android exploitée par des pirates
Une faille dans le blocage YouTube
Pour obtenir cet identifiant, les chercheurs se sont servis de la fonction de blocage sur YouTube, qui permet de bloquer un utilisateur dans un chat en direct. Lors d’un blocage, la fonctionnalité renvoie une réponse à l’internaute à l’origine de la mesure. Cette réponse technique contient l’identifiant Gaia de la personne bloquée. La donnée est obscurcie, c’est-à-dire bien cachée, mais les chercheurs sont parvenus à identifier l’information en décodant des données encodées en base64.
Une fois que l’identifiant a été obtenu, les chercheurs se sont mis en quête d’une solution pour le convertir en adresse mail. L’un des experts a découvert une vulnérabilité dans Pixel Recorder, une fonctionnalité des smartphones de Google, les Pixel, qui permet d’enregistrer des vidéos et d’enregistrer des sons. En se servant d’une faille de API Web de la fonction, le duo a pu convertir l’identifiant en adresse mail. La vulnérabilité se trouve dans l’option de partage.
« Les identifiants Gaia sont exposés sur plusieurs produits Google, en plus de YouTube (comme Maps, Play, Pay), ce qui représente un risque majeur pour la vie privée des utilisateurs de Google, car ces identifiants peuvent être utilisés pour révéler l’adresse e-mail associée au compte Google », expliquent les chercheurs à nos confrères de Bleeping Computer.
De fil en aiguille, les chercheurs ont pu déceler l’adresse mail lié à un compte Google en partant d’un nom d’utilisateur sur YouTube. La combinaison de ces deux failles met en danger l’anonymat des créateurs qui publient des vidéos sur la plateforme et des simples internautes. Une adresse mail peut en effet permettre de remonter jusqu’à l’identité d’une personne dans certains cas.
Alerté par les chercheurs, Google vient de corriger les deux brèches. Le géant de Mountain View a résolu les problèmes liés à la fuite des identifiants Gaia. De plus, le blocage d’un utilisateur sur YouTube a été limité à cette plateforme, sans affecter les autres services de Google. Il n’y a aucun signe que les deux failles aient été exploitées par des pirates.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Bleeping Computer
