By ntr23

オンラインマーケティング企業のDistilledでコンサルタントを務めるトム・アンソニーさんが、Google+のアカウントでログイン時に使用しているメールアドレスを盗み見ることができるバグを発見しました。

Google Exploit - Steal Account Login Email Addresses Tom Anthony
http://www.tomanthony.co.uk/blog/google-exploit-steal-login-email-addresses/


アンソニーさんは、自身の勉強と、Googleのセキュリティホールを報告した際にもらえる報奨金のために、しばしばGoogleのバグ探しを行っているそうです。彼はこれまでにもバグを報告したことがあったそうですが、今回発見したものはとてもシンプルながら簡単に悪用できるものであったそうです。

Google+の各アカウントには固有のIDが割り振られており、例えば以下のアカウントは、URLの「103112588675637065591」部分にIDがそのまま入っています。

Fred Wilson - Google+
https://plus.google.com/103112588675637065591/posts

アンソニーさんのアカウントURLには直接IDが入ってはいないのですが、アンソニーさんのユーザー名にマウスオーバーしたり、リンクのURLをコピーすれば簡単にIDが「114756468015607312300」であることが分かります。


なお、Google+ページのソースでIDを見れば「id="(アンソニーさんのID)"」もしくは「oid="(アンソニーさんのID)"」といった形でIDがソースに書き込まれまくっていることも分かります。

Tom Anthony - Google+
https://plus.google.com/+TomAnthony/posts

バグを使って他人のGoogle+アカウントのログインメールアドレスを抽出する方法は非常に簡単で、「https://www.google.com/settings/dashboard」に「?uq=アドレスを知りたい相手のGoogle+ID」を付け足して他人のダッシュボード(現在は自分のアカウントのダッシュボードにリダイレクトされるようになっている)にアクセス。するとログイン画面が開きます。


ここに自分のGoogleアカウントのログイン情報を入力してログインすると、こんな感じで「開こうとした他人のアカウント名+メールアドレス」と「自分のアカウント名+メールアドレス」が表示され、他人のGoogle+アカウントで使用しているメールアドレスが簡単に盗めるようになっていたようです。


なお、バグを発見したアンソニーさんは、3月4日にこのバグをGoogleに報告し、7日にはバグ修正の報告を受け取ったそうです。