Οι ειδικοί έχουν προειδοποιήσει ότι οποιοδήποτε μήνυμα ηλεκτρονικού ταχυδρομείου, συνδεδεμένο σε λογαριασμό YouTube θα μπορούσε να ανασυρθεί από την Google με ένα «σχετικά απλό» exploit, σύμφωνα με το Techradar.
Ένας ερευνητής που ακούει στο όνομα Brutecat κατάφερε να αξιοποιήσει διάφορες ευπάθειες σε όλα τα προϊόντα της Google για να αποκτήσει πρόσβαση στη διεύθυνση ηλεκτρονικού ταχυδρομείου οποιουδήποτε χρήστη του YouTube, αναφέρει το CyberNews.
Η Google έχει πλέον επιδιορθώσει το ελάττωμα, αλλά αυτό αποτελεί σοβαρό κίνδυνο για την ιδιωτικότητα των χρηστών και θα μπορούσε να τους θέσει σε κίνδυνο επιθέσεων phishing. Καθημερινά παρακολουθούνται περίπου 1 δισεκατομμύριο ώρες περιεχομένου στο YouTube, με σχεδόν 2,5 δισεκατομμύρια χρήστες και 51 εκατομμύρια κανάλια - οπότε η προστασία της ιδιωτικής ζωής είναι σημαντική, δείτε τι γνωρίζουμε.
Κυνηγοί επικηρυγμένων
Οι ευπάθειες ανακαλύφθηκαν επειδή ο ερευνητής «έψαχνε στο API Internal People (staging)» και παρατήρησε «κάτι ενδιαφέρον». Διαπίστωσαν ότι με το αν μπλοκάρετε κάποιον στο YouTube, μπορείτε να διαρρεύσετε το αναγνωριστικό του λογαριασμού του Google.
Για να συνεχίσει, ο ερευνητής ανακάλυψε ότι κάνοντας κλικ στο μενού περιβάλλοντος με τις τρεις τελείες, το αναγνωριστικό GAIA περιλαμβανόταν στην απόκριση του διακομιστή, οπότε δεν υπήρχε ανάγκη αποκλεισμού του καναλιού - πράγμα που σημαίνει ότι αυτό θα μπορούσε να κλιμακωθεί σε κάθε λογαριασμό YouTube - και τα τέσσερα δισεκατομμύρια από αυτούς.
Στη συνέχεια, εξετάζοντας παλιά προϊόντα της Google, ανακάλυψαν ότι το Pixel Recorder περιείχε ένα σφάλμα που θα τους επέτρεπε να μετατρέψουν το εκτεθειμένο GAIA ID σε διεύθυνση ηλεκτρονικού ταχυδρομείου. Στην αρχή, όταν το έκαναν αυτό, το θύμα θα λάμβανε μια ειδοποίηση ηλεκτρονικού ταχυδρομείου - γεγονός που μειώνει αρκετά σημαντικά τον αντίκτυπο της ευπάθειας. Ωστόσο, ανακάλυψαν έναν τρόπο αντιμετώπισης, «Τότε ήταν που συνειδητοποιήσαμε - πως αν συμπεριλαμβάνουμε τον τίτλο της εγγραφής μας, στο θέμα του email, ίσως δε θα μπορούσε να αποσταλεί το email με έναν τόσο μεγάλο τίτλο».
Αυτό λειτούργησε - και όταν ο τίτλος της ηχογράφησης επιμηκύνθηκε σε 2,5 εκατομμύρια γράμματα, «μπίνγκο! Κανένα μήνυμα ηλεκτρονικού ταχυδρομείου ειδοποίησης».
Για την αποκάλυψη του ελαττώματος, ο ερευνητής έλαβε αμοιβή ύψους 10134,88 ευρώ. Υπάρχει μια μακρά παράδοση των παρόχων υπηρεσιών λογισμικού που προσφέρουν αμοιβές για σφάλματα σε ερευνητές ασφαλείας, με την Google να μοιράζει 9,53 εκατομμύρια ευρώ σε αμοιβές το 2023.
Η αναφορά στάλθηκε στις 15 Σεπτεμβρίου 2024 - και τον Νοέμβριο δόθηκε το πρώτο βραβείο ύψους 2986,23 ευρώ, με το σκεπτικό: «Η πιθανότητα εκμετάλλευσης είναι μέτρια. Το θέμα χαρακτηρίζεται ως μεθοδολογία που σχετίζεται με την κατάχρηση με υψηλό αντίκτυπο».
Τον Δεκέμβριο, δόθηκε ένα ακόμη ποσό ύψους 7148,65 ευρώ, αυτή τη φορά επειδή «η πιθανότητα εκμετάλλευσης είναι υψηλή. Το θέμα χαρακτηρίζεται ως μεθοδολογία που σχετίζεται με την κατάχρηση και έχει υψηλό αντίκτυπο» - χάρη σε μια ενημερωμένη έκθεση από την ομάδα προϊόντων.
Ο κίνδυνος για τους χρήστες
Είναι σαφές ότι η Google έχει εντοπίσει έναν κίνδυνο για την κατάχρηση αυτού του ελαττώματος - αλλά ποιος είναι ο κίνδυνος για τους χρήστες; Λοιπόν, δεδομένου ότι τα διαπιστευτήρια σύνδεσης, οι κωδικοί πρόσβασης ή άλλες προσωπικά αναγνωρίσιμες πληροφορίες δεν αποτελούν μέρος αυτής της επίθεσης - αυτό αφήνει μόνο τις επιθέσεις κοινωνικής μηχανικής μέσω ηλεκτρονικού ταχυδρομείου.
Λέμε «μόνο», αλλά οι επιθέσεις phishing αποτελούν σοβαρή ανησυχία και απαιτούν εκατομμύρια θύματα κάθε χρόνο - και μπορούν να οδηγήσουν σε πολύ σοβαρότερα εγκλήματα, όπως κλοπή ταυτότητας ή απάτη.
Εάν ένας εγκληματίας στον κυβερνοχώρο σας στείλει μήνυμα ηλεκτρονικού ταχυδρομείου, υπάρχουν μεγάλες κόκκινες σημαίες που μπορείτε να προσέξετε. Η πρώτη απ' όλες είναι η διεύθυνση ηλεκτρονικού ταχυδρομείου τους - αν είναι G00gle ή M1crosoft αντί για τις νόμιμες διευθύνσεις τους, μην το ανοίξετε. Ή, αν λάβετε ένα εντελώς απροσδόκητο μήνυμα ηλεκτρονικού ταχυδρομείου από έναν «φίλο» από έναν λογαριασμό που δεν αναγνωρίζετε - ειδικά ένα που σας προτρέπει σε δράση (δηλαδή σας ζητά να κάνετε κλικ σε έναν σύνδεσμο, να στείλετε χρήματα, να αγοράσετε μια δωροκάρτα κ.λπ.) - τότε να είστε πολύ καχύποπτοι.
Αν είστε αυτόματα καχύποπτοι απέναντι στα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε, θα είστε σε καλύτερη θέση.
Για να είστε ασφαλείς, θα πρέπει να δημιουργείτε ισχυρούς και ασφαλείς κωδικούς πρόσβασης για κάθε λογαριασμό - και να φροντίζετε να τους αλλάζετε όσο πιο συχνά θυμάστε.
Το τελευταίο πράγμα που πρέπει να προσέξετε είναι τα συνημμένα - εάν ο λογαριασμός που το έστειλε είναι άγνωστος και το μήνυμα ηλεκτρονικού ταχυδρομείου περιέχει εικόνες, συνδέσμους ή έγγραφα - αυτό είναι ύποπτο. Οι κωδικοί QR μπορεί να είναι κακόβουλοι, οπότε μη σαρώνετε οτιδήποτε δεν είστε σίγουροι ότι είναι ασφαλές.
