安全研究人员近日发现 Google 存在两个漏洞,攻击者可通过 YouTube ID 获取用户的 Gmail 地址。研究人员通过 Google 的 People API 发现,YouTube 的屏蔽功能依赖于一个模糊的 「Gaia」ID,而该 ID 可通过 Pixel Recorder 的网页版暴露用户邮箱。
在实验中,研究人员利用 Python 脚本绕过分享通知,成功获取目标邮箱。Google 已修复相关漏洞,并向研究人员支付了总计 10,633 美元的漏洞赏金。
Google 漏洞允许攻击者通过 YouTube ID 获取 Gmail 地址
