資安專家利用250萬字元的檔名成功讓 Google 安全機制「傻掉」，以獲得YouTube頻道主真實Gmail

近日，一位網路安全研究人員 Brutecat 揭露了一個影響 Google 生態系統的重大安全漏洞，這個發現不僅為他贏得了豐厚的獎金，更凸顯了即便是科技巨頭的系統也可能存在安全缺陷。這個漏洞涉及 YouTube 創作者的隱私問題，若被惡意利用可能導致嚴重的資安風險。

根據研究人員的調查，這個安全漏洞是透過連接兩個獨立的系統缺陷而發現的。首先是在 Google 的 People API 中，YouTube 的使用者封鎖功能與 Google 的 Gaia ID 系統之間存在著特殊的關聯。Gaia ID 是 Google 用於管理旗下所有產品身份識別的核心系統，當使用者在 YouTube 上封鎖某人時，這個動作實際上是以 Gaia ID 為基礎進行的，而非單純的 YouTube 帳號封鎖。

更令人意外的是，研究人員在 Google Pixel 手機的內建錄音應用程式網頁版中發現了第二個漏洞。透過精心設計的程式，研究人員成功地將兩個漏洞串連起來，最終得以取得任何 YouTube 創作者的 Gmail 信箱地址。這個過程中，研究人員運用了一個極為巧妙的技術：建立一個長達 250 萬字元的檔案名稱，這個異常的檔名成功地使 Google 的通知系統失效，讓目標使用者完全不會收到任何警示。

這個漏洞的嚴重性在於它可能被用來進行更進一步的網路攻擊。擁有創作者的 Gmail 信箱後，惡意人士可能假冒 Google 或 YouTube 官方進行釣魚攻擊，進而竊取大型 YouTube 頻道的控制權，或是利用這些頻道散布惡意內容和釣魚網站。考慮到許多 YouTube 創作者擁有數百萬訂閱者，這樣的安全漏洞可能造成的損害是相當驚人的。

Google 在接獲通報後迅速做出回應，一開始提供了 3,133 美元（約台幣 102,863 元）的漏洞獎金。然而，在深入評估漏洞的嚴重性後，Google 決定追加 7,500 美元（約台幣 246,150 元）的獎勵，使得總獎金達到 10,633 美元（約台幣 349,013 元）。這個金額的提升反映出 Google 對此漏洞的重視程度，也顯示出這個安全問題的潛在威脅性。

目前，Google 已經完成了相關漏洞的修補工作。這次事件再次提醒我們，即便是最頂尖的科技公司，其產品中仍可能存在被忽視的安全漏洞。同時也凸顯了負責任的資安研究對於維護網路生態系統安全的重要性。研究人員也表示，在 Google 完成修復之前，相關的技術細節都不會對外公開，以確保使用者的資訊安全。