YouTube 심각한 취약점, Pixel Recorder를 통해 사용자 이메일 유출
2025-02-12
보안 연구원들이 YouTube의 심각한 취약점을 발견했습니다. 이 취약점을 악용하면 Google Pixel Recorder 서비스를 통해 임의의 YouTube 사용자의 이메일 주소를 유출할 수 있습니다. 공격자는 먼저 YouTube의 /get_item_context_menu 엔드포인트를 통해 표적 사용자의 난독화된 Gaia ID를 얻습니다. 그런 다음 Pixel Recorder의 공유 기능을 활용하고 알림 메커니즘을 우회하여 Gaia ID를 이메일 주소로 변환합니다. 이 공격은 복잡한 절차가 필요하지만 영향 범위가 크며, Google로부터 10,500달러의 현상금이 지급되었습니다.
기술
YouTube 취약점