YouTubeアカウントからメールアドレスを抽出するバグに対し164万円の報奨金をGoogleが支払い

YouTubeのライブ配信のコメント欄には、それぞれのコメントについて報告したりブロックしたりするためのメニューが用意されています。


メニューを開いた時、相手を報告したりブロックしたりするための情報がAPIから取得されるとのこと。


この情報には、実質的にGoogleアカウントのIDといえる「Gaia ID」が含まれています。内部的にはGaia IDがGoogleアカウントと1対1で紐付いていても、Gaia IDからGoogleアカウントに結びつける手段が無ければ問題ないはずでした。


skull氏は友人と協力し、過去のGoogleのサービスを調査してGaia IDとGoogleアカウントを結びつける方法を調べました。その結果、Google Pixelのレコーダーアプリの共有機能に問題がある事を発見。


録音を共有するAPIにGaia IDでリクエストを行うと、Googleアカウントのメールアドレスが返ってきています。


幸い、共有するためのAPIということで、このAPIを使用してGaia IDとGoogleアカウントの紐付けを行うと録音の共有を通知するメールが送信されるため、何か怪しげなことが起きていることをアカウントの持ち主が気づける可能性がありました。


そこで、skull氏は録音のタイトルがメールの件名になることに着目し、録音のタイトルを250万文字に変更しました。


非常に長いタイトルにしたことでメールが送信されなくなり、ターゲットにバレずにYouTubeアカウントからGoogleアカウントのメールアドレスを入手することに成功したというわけです。


skull氏は2024年9月15日にこの問題をGoogleに報告し、Googleは2025年2月9日に修正を適用しました。Googleは「悪用性が高く、影響が大きい」としつつ「攻撃のチェーンが複雑」であることを理由に報酬のランクを1段階下げ、skull氏に合計1万633ドル(約164万円)を支払ったとのことです。