Identità dei YouTuber a Rischio per Mesi: Scopri il Difetto Sconvolgente

Avatar Luca Arnaldi

WRITTEN BY

POSTED

COMMENTS

0 Comments

La privacy digitale ha acquisito sempre maggiore importanza nell’era contemporanea, specialmente a causa dell’operato di hacker e altri soggetti malintenzionati. Recentemente, è emersa una vulnerabilità che ha messo a rischio gli indirizzi email degli utenti di YouTube. Fortunatamente, il problema è stato rapidamente risolto da Google.

Il rischio per gli indirizzi email su YouTube

Accedere agli indirizzi email di utenti di YouTube non era un’operazione semplice, rendendo improbabile il fatto che ci siano stati numerosi casi di accesso non autorizzato. Questo è particolarmente significativo considerando che la vulnerabilità era presente per diversi mesi nel 2024.

Per ottenere gli indirizzi email, era necessario sfruttare due punti vulnerabili nei sistemi di Google. Il primo era legato alla People API di Google. La funzionalità di bloccare utenti a livello di rete richiedeva un “obfuscated Google Gaia ID”, un identificatore unico per ogni conto Google, utilizzato su vari prodotti dell’azienda, inclusi Docs, Gmail, Sheets, Maps e naturalmente YouTube.

Il ricercatore che ha scoperto questa falla, Brutecat, ha notato che quando un utente viene bloccato in una chat dal vivo di YouTube, il sistema espone il Gaia ID di quella persona. Questo è problematico, poiché è possibile estrarre l’indirizzo email da quell’ID. Gli ID di Gaia non dovrebbero essere pubblici, in quanto la loro struttura non memorizza gli email in chiaro, ma utilizza un codice base64 che necessita di decodifica.

Decodifica degli ID Gaia

Trovare i Gaia ID non era sufficiente. Un altro ricercatore, Nathan, è intervenuto per chiarire la questione. Non era possibile decodificare immediatamente gli ID; era necessaria un’API sufficientemente datata per eseguire la decodifica. Le nuove API non possiedono questa capacità.

La squadra ha scoperto che l’API Pixel Recorder era quella corretta per eseguire tale compito. Quest’API web-based, una volta utilizzata per inviare gli ID, li ha decodificati e ha fornito gli indirizzi email associati. Dopo aver ricevuto il rapporto sul problema il 24 settembre e aver corrisposto ai ricercatori un premio di 10.633 dollari, Google ha chiuso la falla, evitando potenziali conseguenze disastrose nel caso di una diffusione dell’errore.

Print

Continue reading

NEXT

IPhone SE 4: Rinvio del Lancio in Aspettativa dell’Annuncio del Vision Pro di Apple

Negli ultimi anni, il lancio della serie di iPhone SE da parte di Apple ha suscitato particolare attenzione, alimentando aspettative e speculazioni. Recentemente, si sono diffuse notizie riguardo l’eventuale presentazione dell’iPhone SE 4, inizialmente prevista per questa settimana. Le ultime […]
PREVIOUS

Aggiornamento Waze per CarPlay: Naviga Facilmente Verso Casa, Lavoro o Cerca Destinazioni

Un recente aggiornamento dell’applicazione Waze per Apple CarPlay introduce una funzionalità che semplifica notevolmente la navigazione verso casa o il lavoro, grazie all’aggiunta di un nuovo tasto di scorciatoia. Nuove funzionalità di Waze Con l’ultima versione di Waze per iOS, […]

Potrebbero interessarti

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I più popolari

Di tendenza