Kritische YouTube-Schwachstelle ermöglicht E-Mail-Lecks über Pixel Recorder
2025-02-12
Eine kritische Sicherheitslücke in YouTube ermöglicht es Angreifern, die E-Mail-Adresse jedes YouTube-Nutzers durch Ausnutzung des Google Pixel Recorder-Dienstes zu offenbaren. Die Angriffskette besteht darin, zuerst die verschleierte Gaia-ID des Nutzers über den YouTube-Endpunkt /get_item_context_menu zu erhalten. Anschließend wird die Funktion zum Teilen von Pixel Recorder genutzt und Benachrichtigungsmechanismen umgangen, um die Gaia-ID in eine E-Mail-Adresse umzuwandeln. Obwohl die Ausnutzung eine komplexe Kette von Schritten erfordert, ist ihre Auswirkung erheblich und führte zu einer Belohnung von 10.500 US-Dollar von Google.
Technologie
YouTube-Sicherheitslücke