Internet-Sicherheit
Sicherheitslücke bei YouTube: Forscher decken Schwachstelle auf
Schwachstellen in Google-Diensten ermöglichten zuletzt Zugriff auf E-Mail-Adressen von YouTube-Nutzern. Google hat die Probleme inzwischen behoben.
Sicherheitsforscher haben eine durchaus schwerwiegende Sicherheitslücke in Google-Diensten entdeckt, die es ermöglichte, die E-Mail-Adressen beliebiger YouTube-Nutzer zu ermitteln. Das Gute: Die Schwachstellen wurden mittlerweile geschlossen, doch das Vorgehen zeigt, wie empfindlich selbst große ...
Sicherheitsforscher haben eine durchaus schwerwiegende Sicherheitslücke in Google-Diensten entdeckt, die es ermöglichte, die E-Mail-Adressen beliebiger YouTube-Nutzer zu ermitteln. Das Gute: Die Schwachstellen wurden mittlerweile geschlossen, doch das Vorgehen zeigt, wie empfindlich selbst große Plattformen gegenüber unkonventionellen Angriffsmethoden sein können.
Die Sicherheitsforscher erklärten in einem Blogbeitrag, wie sie zunächst die sogenannte Gaia ID eines YouTube-Kontos ermitteln konnten. Diese numerische Zeichenkette dient zur eindeutigen Identifikation eines Google-Nutzers über verschiedene Dienste hinweg. Um an diese ID zu gelangen, analysierten die Forscher den Datenverkehr zwischen dem YouTube-Webinterface und den Google-Servern.
Dabei stellten sie fest, dass die Gaia ID in einem base64-kodierten Datenobjekt enthalten war, das von den Servern zurückgegeben wurde. Ein Beispiel dafür war das Öffnen des Menüs zum Blockieren eines Nutzers in einem Livechat. Dabei war es nicht einmal notwendig, den Nutzer tatsächlich zu blockieren.
Mit der so ermittelten Gaia ID suchten die Forscher nach einer weiteren Schwachstelle und wurden fündig: Eine API des Webportals zur Rekorder-App auf Pixel-Geräten ermöglichte es, unter Angabe der Gaia ID die E-Mail-Adresse des zugehörigen Google-Kontos abzurufen.
Allerdings war der Zugriff an eine Bedingung geknüpft: Der Angreifer musste eine Audioaufnahme mit dem Zielnutzer teilen, woraufhin dieser eine E-Mail-Benachrichtigung erhielt. Dies hätte betroffene Nutzer misstrauisch machen können. Die Forscher fanden jedoch eine Methode, um diesen Mechanismus zu umgehen. Durch die Angabe eines extrem langen Titels für die Audioaufnahme (2,5 Millionen Zeichen) wurde offenbar ein Fehler auf dem Server ausgelöst, sodass die Benachrichtigung nicht versendet wurde.
Nachdem die Forscher die Schwachstellen am im September an Google gemeldet hatten, bewertete das Unternehmen die Wahrscheinlichkeit einer Ausnutzung zunächst als "mittel" und zahlte eine Belohnung von 3.133 US-Dollar. Wenige Wochen später korrigierte Google seine Einschätzung und stufte die Sicherheitslücke als "hoch" ein. Infolgedessen erhielten die Forscher eine zusätzliche Belohnung von 7.500 US-Dollar. Laut Google seien beide Schwachstellen bis zum 9. Februar 2025 behoben worden. Es gebe keine Hinweise darauf, dass böswillige Akteure die Lücke ausgenutzt hätten.
