in Tech

Scoperte vulnerabilità nelle API di YouTube e Pixel Recorder

Due ricercatori rivelano gravi falle nella sicurezza delle API di Google, mettendo a rischio la privacy degli utenti.

Scoperte vulnerabilità nelle API di YouTube e Pixel Recorder
Analisi delle vulnerabilità scoperte nelle API di YouTube e Pixel Recorder.

Introduzione alle vulnerabilità scoperte

Recentemente, due ricercatori hanno messo in luce delle vulnerabilità significative nelle API di YouTube e Pixel Recorder, che, se sfruttate, avrebbero potuto compromettere la privacy degli utenti. Questi problemi di sicurezza hanno attirato l’attenzione non solo degli esperti del settore, ma anche degli utenti comuni, preoccupati per la protezione dei propri dati personali.

Dettagli delle vulnerabilità

Utilizzando le Internal People API, uno dei ricercatori ha scoperto che la funzionalità di blocco degli account su YouTube rivelava il Gaia ID, un identificatore unico associato all’account Google. Questo ID non dovrebbe essere pubblico, in quanto è utilizzato esclusivamente per la condivisione di dati tra i vari servizi di Google. Durante un test, il ricercatore ha simulato il blocco di un utente nella live chat, e YouTube ha esposto il Gaia ID nella risposta alla richiesta API.

Sebbene l’informazione fosse codificata in base64, la decodifica ha rivelato l’identificatore associato all’account, creando un potenziale rischio per la privacy degli utenti.

Il secondo ricercatore e la scoperta dell’indirizzo email

Il secondo ricercatore ha scoperto che Pixel Recorder possiede una web API che consente di ottenere l’indirizzo email associato al Gaia ID, nel momento in cui viene condivisa una registrazione audio. Questo rappresenta un grave pericolo per la privacy, poiché il proprietario dell’account Google riceve un’email con il titolo del video che notifica la condivisione, avvisando di una possibile attività sospetta. Per testare la vulnerabilità, i ricercatori hanno modificato la richiesta, aggiungendo 2,5 milioni di caratteri nel titolo, causando un malfunzionamento del servizio e impedendo l’invio dell’email al destinatario.

La risposta di Google e le misure correttive

Le vulnerabilità sono state segnalate a Google, che ha prontamente risolto il problema il 9 febbraio. Grazie all’intervento tempestivo, il Gaia ID non può più essere recuperato e non è più possibile trovare l’indirizzo email associato. Google ha anche premiato i ricercatori con 10.633 dollari per il loro lavoro di scoperta e segnalazione delle falle di sicurezza. Questo caso sottolinea l’importanza della sicurezza informatica e la necessità di un monitoraggio costante delle API utilizzate da grandi aziende come Google.

What do you think?

0 punti
Upvote Downvote

Scritto da Redazione Think.it

Immagine di ImmunoVeg, innovazione nel settore biotecnologico

ImmunoVeg: innovazione sostenibile nel settore biotecnologico
Square Enix chiude Final Fantasy Crystal Chronicles su iOS

Square Enix chiude Final Fantasy Crystal Chronicles su iOS: ecco perché