Faille critique sur YouTube permettant de divulguer les e-mails des utilisateurs via Pixel Recorder
2025-02-12
Une faille critique sur YouTube permet aux attaquants de divulguer l'adresse e-mail de n'importe quel utilisateur de YouTube en exploitant le service Google Pixel Recorder. La chaîne d'attaque consiste d'abord à obtenir l'ID Gaia obfuscated de l'utilisateur via le point de terminaison /get_item_context_menu de YouTube. Ensuite, en utilisant la fonctionnalité de partage de Pixel Recorder et en contournant les mécanismes de notification, l'attaquant convertit l'ID Gaia en adresse e-mail. Bien que l'exploitation nécessite une chaîne complexe d'étapes, son impact est significatif, entraînant une récompense de 10 500 $ de la part de Google.