- #安全资讯 研究人员发现谷歌账户系统可以获得任何漏洞 YouTube 频道的也个员生真实 Gmail 谷歌最初准备奖励邮箱 3133 随后,美元认为这个漏洞影响很大,奇怪并获得了额外的法研符vivo手机丢失怎么找回奖励 7500 美元。在使用漏洞的究人过程中,还涉及到很长的字文件网文件名,这个文件名高达。名绕 250 谷歌通知系统绕过了一万个字符。过谷歌查看全文:https://www.8ec.cn/107916。通知网络安全研究人员 Brutecat 发现谷歌的系统 YouTube 视频网站有两个安全漏洞。谷歌虽然承诺保护用户隐私,蓝点但有兴趣的也个员生vivo手机丢失怎么找回人只需要串联两个漏洞,就可以直接获得 YouTube 频道所属创作者的奇怪真实性 Gmail 邮箱。
有了 Gmail 邮箱后也可以模仿 Google 或 YouTube 钓鱼给创作者带来更多的法研符安全问题,比如窃取大规模的究人安全问题 YouTube 发布钓鱼网站等频道账号。
最初的字文件网研究人员正在分析 Google 的 People API 发现一个允许屏蔽 YouTube 用户的功能依赖于模糊 Gaia ID,Gaia 谷歌的所有产品 ID 管理系统。
根据谷歌支持页面的说明,在 YouTube 当一个人被屏蔽时,它会自动扩展到谷歌的其他产品,这意味着当用户执行屏蔽操作时,对方不会被屏蔽 YouTube 账户,还是 Gaia ID。
在过去,有几个人会出现 Gaia ID 分析了电子邮件地址的错误,研究人员认为谷歌的一些旧产品和不知名产品可能仍然存在这个漏洞。
随后的验证证明研究人员是正确的,研究人员是正确的 Google Pixel Recorder (谷歌 Pixel 自带设备的录音机) 网络版发现了一个链接,通过将来 Pixel Recorder 与网页版分享录音 Gaia ID 当检查网页请求时,目标电子邮件地址被曝光。
这种操作通常会触发向目标用户发送共享通知 (如录音共享通知),
但研究人员使用 Python 脚本分配了一个非常长的录音文件名 (文件名长度达 250 万个字符)。,谷歌不会向目标用户发送共享通知。在确定漏洞可用后,研究人员将漏洞通知谷歌,然后得到谷歌的确认。谷歌为研究人员分配了它 3133 美元的漏洞奖金,但谷歌认为这个漏洞很可能会被利用,所以它重新评估了危害水平,并给予了额外的奖励 7500 美元,即研究人员累计获得的奖金 10633 美元。
谷歌已经修复了这个漏洞,研究人员当然不会披露上述漏洞的细节。
顶: 92踩: 93582
评论专区