YouTube e Pixel Recorder: come svelare accidentalmente la tua email Google

Avatar Luca Arnaldi

WRITTEN BY

POSTED

COMMENTS

0 Comments

Recentemente è emersa una vulnerabilità di sicurezza riguardante YouTube, con potenziali ripercussioni sulla privacy degli utenti. Gli esperti di sicurezza hanno scoperto una falla che ha consentito l’estrazione degli indirizzi email associati agli account Google attraverso un exploit nel sistema di chat live di YouTube. Questa scoperta ha sollevato preoccupazioni significative, rendendo la questione particolarmente rilevante per la sicurezza online.

la vulnerabilità di YouTube

Il problema è stato identificato da ricercatori di sicurezza, i quali hanno indicato che la combinazione di specifiche debolezze all’interno del sistema di blocco utenti di YouTube e del Google Pixel Recorder ha reso possibile l’esposizione degli indirizzi email.

meccanismo dell’exploit

La falla si è originata dal modo in cui YouTube gestisce i blocchi. Quando un utente viene bloccato, YouTube registra l’identificativo Google obfuscato — il Gaia ID — anziché l’indirizzo email reale. Questo identificativo, normalmente riservato, può essere estratto interagendo con altri utenti nella chat live.

Successivamente, i ricercatori hanno scoperto che, mediante il Google Pixel Recorder, era possibile convertire il Gaia ID in un indirizzo email. Questa app, quando utilizzata per condividere registrazioni vocali, restituiva l’indirizzo email del destinatario se veniva fornito il relativo Gaia ID. Di conseguenza, Pixel Recorder si è trasformato in uno strumento inatteso per la ricerca di email associate agli account Google.

la risposta di Google

Dopo essere stata informata di questa vulnerabilità a settembre, Google inizialmente ha considerato il problema come un duplicato di un bug già noto, assegnando un premio di $3,133. Dopo ulteriori verifiche effettuate dai ricercatori, che hanno dimostrato l’ulteriore exploit attraverso Pixel Recorder, la compagnia ha riconsiderato la situazione. Nel dicembre 2024, l’importo del premio è stato innalzato a $10,633, evidenziando il grave rischio di sfruttamento.

Successivamente, Google ha corretto la falla legata all’esposizione dell’identificativo Gaia e del Pixel Recorder. Le modifiche all’intero sistema di blocco di YouTube hanno impedito la sincronizzazione di queste informazioni attraverso i vari servizi Google.

profilo della scoperta

  • Ricercatori: Brutecat e Nathan
  • Vulnerabilità: estrazione dell’email tramite Gaia ID
  • Esito: correzione del bug e aggiornamento della sicurezza

In risposta a questo problema, Google ha dichiarato che non vi sono prove che le vulnerabilità siano state sfruttate prima della loro correzione, evidenziando l’impegno dell’azienda per la sicurezza dei suoi utenti.

Print

Continue reading

NEXT

Problemi del Samsung Galaxy S25 e soluzioni efficaci per risolverli

L’attuale serie di smartphone Samsung Galaxy S25 ha già sollevato diverse problematiche facilmente rintracciabili sui forum delle comunità online, come Reddit e il forum ufficiale Samsung. I problemi non sorprendono, in quanto è comune per i nuovi dispositivi affrontare bug […]
PREVIOUS

Galaxy S25 Ultra: il test di caduta che supera le aspettative della protezione Gorilla Armor 2

durabilità e resistenza del Samsung Galaxy S25 Ultra Il Samsung Galaxy S25 Ultra, recentemente presentato, è stato pubblicamente descritto da Samsung come il modello più resistente mai creato nella gamma Galaxy S. L’azienda ha affermato che il dispositivo sfoggia un […]

Potrebbero interessarti

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I più popolari

Di tendenza