كشفت شركة جوجل عن إصلاح ثغرتين أمنيتين خطيرتين كانتا قد تعرضتا للاكتشاف من قِبل الباحثين الأمنيين BruteCat وNathan. هاتان الثغرتان كانتا تسمحان، عند استغلالهما معًا، بكشف عناوين البريد الإلكتروني لمستخدمي يوتيوب، مما يشكل خطرًا جسيمًا على خصوصية المستخدمين الذين يعتمدون على إخفاء هويتهم، مثل صُنّاع المحتوى والناشطين والمبلغين عن المخالفات.
كيف تم اكتشاف الثغرة؟
بدأ الأمر عندما قام الباحث BruteCat بتحليل واجهة برمجة التطبيقات الداخلية لجوجل والمعروفة باسم People API. اكتشف أن ميزة “الحظر” على مستوى شبكة جوجل تتطلب استخدام معرف داخلي يُسمى Gaia ID مع اسم العرض الخاص بالمستخدم.
- ما هو Gaia ID؟
هو معرف داخلي فريد تستخدمه جوجل لإدارة حسابات المستخدمين عبر خدماتها المختلفة مثل Gmail وYouTube وGoogle Drive. هذا المعرف غير مخصص ليكون مرئيًا للعامة.
عند محاولة حظر مستخدم في محادثات البث المباشر على يوتيوب، لاحظ الباحث أن يوتيوب يكشف عن معرف Gaia الخاص بالمستخدم المستهدف ضمن استجابة طلب API يُعرف باسم:/youtube/v1/live_chat/get_item_context_menu
بمجرد النقر على زر القائمة الثلاثية النقاط في دردشة مباشرة، يتم إرسال طلب خلفي إلى API الخاص بيوتيوب، يحتوي على بيانات مشفرة بنظام Base64. عند فك تشفير هذه البيانات، يظهر معرف Gaia الخاص بالمستخدم.
من معرف Gaia إلى عنوان البريد الإلكتروني
لم يتوقف الباحثان عند هذا الحد. كان التحدي التالي هو تحويل معرف Gaia إلى عنوان البريد الإلكتروني الخاص بالمستخدم.
- كيف تم ذلك؟
بعد أن فشلوا في استخدام واجهات برمجة التطبيقات القديمة التي كانت تتيح هذا النوع من التحويل، اكتشف الباحث Nathan وجود ثغرة في واجهة برمجة تطبيقات Pixel Recorder.
عند مشاركة تسجيل صوتي عبر هذا التطبيق، يمكن استغلال الميزة لتحويل معرف Gaia إلى عنوان بريد إلكتروني.
وهكذا، بمجرد حصولهم على معرف Gaia الخاص بأي قناة على يوتيوب، أصبح بإمكانهم إرسال هذا المعرف إلى خدمة مشاركة Pixel Recorder، والتي بدورها تُعيد عنوان البريد الإلكتروني المرتبط بحساب جوجل.
خطورة الثغرة وتأثيرها
- تهدد هذه الثغرة ملايين المستخدمين الذين يعتمدون على إخفاء هويتهم على الإنترنت.
- يمكن استخدامها لتحديد هويات صناع المحتوى، الصحفيين، والناشطين الذين يحتاجون للخصوصية.
- لا تقتصر المخاطر على يوتيوب فقط، لأن معرف Gaia يُستخدم عبر خدمات متعددة مثل Google Maps وGoogle Play وGoogle Pay.
كيف تصرفت جوجل؟
- تاريخ الإبلاغ: 24 سبتمبر 2024
- تاريخ الإصلاح: 9 فبراير 2025
في البداية، اعتبرت جوجل أن هذه الثغرة نسخة مكررة من ثغرة سابقة ومنحت الباحثين مكافأة قدرها 3,133 دولارًا. لكن بعد توضيح استغلال واجهة Pixel Recorder، رفعت جوجل قيمة المكافأة إلى 10,633 دولارًا نظرًا لخطورة الثغرة وإمكانية استغلالها بسهولة.
قامت جوجل بإصلاح الثغرات عبر:
- منع تسريب معرف Gaia من خلال واجهة برمجة تطبيقات يوتيوب.
- سد الثغرة في Pixel Recorder التي سمحت بتحويل معرف Gaia إلى بريد إلكتروني.
- تعديل آلية الحظر على يوتيوب لتقتصر فقط على المنصة دون التأثير على باقي خدمات جوجل.
أكدت جوجل أنه لم يتم اكتشاف أي حالات استغلال فعلي للثغرات قبل إصلاحها.
نصائح لحماية خصوصيتك كمستخدم:
- تحديث التطبيقات باستمرار لتجنب المخاطر الأمنية.
- مراجعة إعدادات الخصوصية في حسابك على جوجل ويوتيوب.
- تفعيل المصادقة الثنائية (2FA) لمزيد من الأمان.
- تجنب مشاركة معلومات حساسة في الدردشات العامة أو البث المباشر.
ابدأ المناقشة في forum.mjbtechtips.com