蓝点网
·
又是思路清奇!研究人员生成长度达250万字符的文件名用来绕过谷歌的通知系统
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
研究人员发现谷歌YouTube存在漏洞,能够获取任意频道的真实Gmail邮箱。谷歌最初奖励3133美元,后因漏洞影响扩大追加7500美元,总计10633美元。该漏洞已被修复。
🎯
关键要点
-
研究人员发现谷歌YouTube存在漏洞,可以获取任意频道的真实Gmail邮箱。
-
谷歌最初奖励3133美元,后因漏洞影响扩大追加7500美元,总计10633美元。
-
漏洞利用过程中涉及极长的文件名,导致谷歌通知系统被绕过。
-
研究人员通过分析Google的People API发现漏洞,涉及Gaia ID管理系统。
-
屏蔽YouTube用户时,实际上屏蔽的是Gaia ID,可能导致电子邮件地址曝光。
-
研究人员在Google Pixel Recorder中发现了该漏洞,并成功验证。
-
谷歌已确认漏洞并进行了修复,研究人员未公开漏洞细节。
❓
延伸问答
谷歌YouTube的漏洞是什么?
研究人员发现谷歌YouTube存在漏洞,可以获取任意频道的真实Gmail邮箱。
研究人员是如何发现这个漏洞的?
研究人员通过分析Google的People API发现了漏洞,涉及Gaia ID管理系统。
谷歌对此漏洞的奖励是多少?
谷歌最初奖励3133美元,后因漏洞影响扩大追加7500美元,总计10633美元。
这个漏洞是如何被利用的?
研究人员使用极长的文件名(达250万字符)绕过谷歌的通知系统,从而获取邮箱地址。
谷歌对这个漏洞采取了什么措施?
谷歌已确认漏洞并进行了修复。
这个漏洞可能带来哪些安全风险?
利用该漏洞可以仿冒Google或YouTube进行钓鱼,可能导致窃取大型YouTube频道账户等安全问题。
➡️
