YouTubeの重大な脆弱性、Pixel Recorder経由でユーザーのメールアドレスを漏洩
2025-02-12
セキュリティ研究者によって、YouTubeの重大な脆弱性が発見されました。この脆弱性を悪用することで、Google Pixel Recorderサービスを利用して、任意のYouTubeユーザーのメールアドレスを漏洩させることが可能です。攻撃者はまず、YouTubeの/get_item_context_menuエンドポイントを通じて、標的ユーザーの難読化されたGaia IDを取得します。その後、Pixel Recorderの共有機能を利用し、通知メカニズムを回避することで、Gaia IDをメールアドレスに変換します。この攻撃は複雑な手順を必要としますが、影響範囲は大きく、Googleから10,500ドルの懸賞金が支払われました。