文章总结: 该文档详细披露了针对谷歌多项服务的账户劫持与信息泄露漏洞,包括GoogleVoice、AdExchange、Eldar内部系统、YouTube未列出视频及WidevineDRM平台。攻击者通过API访问控制缺失或配置错误,可非授权获取用户PII、分配电话号码、查看内部评估日志、泄露未公开视频ID及管理DRM密钥。漏洞均被评级为高风险,谷歌已快速修复并向作者支付总计超10万美元赏金。 综合评分: 85 文章分类: 漏洞分析,WEB安全,渗透测试,红队,数据安全
用AI入侵谷歌,获得50万美元赏金【下】
原创
骨哥说事 骨哥说事
骨哥说事
2026年6月17日 10:17 上海
在小说阅读器读本章
去阅读
| | | — | | 声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。 |
#
#
Google Voice账户劫持 (ATO)
gfibervoice-pa.googleapis.com 上完全没有访问控制检查,该API似乎包含管理 Google Voice 和 Google Fiber 的管理员端点。
只需一行 curl 命令(你甚至不需要认证):
curl 'https://gfibervoice-pa.googleapis.com/v1/BssGetVoiceSettings?gaiaId=786575234861' \
-X GET \
-H 'X-Goog-Api-Key: AIzaSyBFEIaAndFpMDyNGq2g54RJYt_GFZdcRHE'
将
gaiaId替换为受害者的 未混淆的Gaia ID
如果他们的谷歌账户绑定了Google Voice号码,它会转储他们所有的PII(个人身份信息):
{
"voiceAccountInfo": {
"voiceSettings": {
...
"did": "+<REDACTED PHONE>",
"notificationAddress": "<REDACTED>@gmail.com",
"voicemailPin": "",
"doNotDisturb": false,
"groupRingType": "GROUP_RING_TYPE_UNKNOWN",
"weekdayRingSchedule": {
"scheduleType": "ALWAYS_RING"
},
"weekendRingSchedule": {
"scheduleType": "ALWAYS_RING"
},
"forwardingPhone": [
{
"id": 33,
"phoneNumber": "+<REDACTED PHONE>",
"verified": false
},
{
"id": 52,
"phoneNumber": "sip:<REDACTED>@voice.sip.google.com",
"verified": true
},
...
],
"timezone": "America/Chicago",
"callScreening": "SCREENING_ASK_UNKNOWN_FOR_NAME"
},
...
}
}
从这个API响应中,我们可以看到受害者的Google Voice号码以及他们的 谷歌账户恢复电话号码!
该API还方便地提供了一个端点,可以将Google Voice号码分配给任何目标谷歌账户(即使他们从未使用过Voice):
curl 'https://gfibervoice-pa.googleapis.com/v1/AssignNumber' \
-X POST \
-H 'Content-Type: application/json' \
-H 'X-Goog-Api-Key: AIzaSyBFEIaAndFpMDyNGq2g54RJYt_GFZdcRHE' \
--data-raw '{"gaiaId":"1072004820935","accountId":"1","number":"+16503837639"}'
accountId未被验证,可以是任意值。
API会返回:
{
"error": {
"code": 500,
"message": "Internal error encountered.",
"status": "INTERNAL"
}
}
但这没关系,号码仍然被添加了。这个号码甚至出现在受害者的谷歌账户电话列表下,地址是 https://myaccount.google.com/phone。
如果你再次获取受害者的资料:
{
"voiceAccountInfo": {
"voiceSettings": {
"did": "+16503837639",
"emailForVoicemailNotification": true,
"notificationAddress": "[email protected]",
"voicemailPin": "",
...
"forwardingPhone": [
{
"id": 1,
"phoneNumber": "<REDACTED>",
"verified": true
},
...
],
"timezone": "America/Los_Angeles",
"callScreening": "SCREENING_ASK_UNKNOWN_FOR_NAME"
},
...
}
}
受害者的谷歌账户恢复电话号码会显示出来。与谷歌确认后,似乎有某些特定条件才会在这里显示恢复电话号码,并非每个谷歌账户都会这样,尽管谷歌拒绝提供确切的条件。
对于转移现有的Google Voice号码,情况稍微复杂一些。你需要为目标号码的Voice受害者分配两个新号码,一段时间后原始Voice号码会”过期”,然后你就可以将这个号码分配到你的攻击账户。否则它会返回一些奇怪的错误。
有趣的是,这个API上还有其他几个可疑的端点,由于我没有Google Fiber账户而无法测试,这些端点可能允许 执行SIM交换攻击:
(请求格式略)
这个漏洞被标记为 P0/S0,在几小时内得到修复,并根据以下标准获得了 $20,000 赏金:漏洞可能泄露特别敏感用户数据的域名。漏洞类别为”绕过重大安全控制”,涉及PII或其他机密信息。
修复后不久,我碰巧注意到该端点开始返回一个奇怪的错误:
GET /v1/CheckNumberPortStatus HTTP/2
Host: gfibervoice-pa.googleapis.com
X-Goog-Api-Key: AIzaSyBFEIaAndFpMDyNGq2g54RJYt_GFZdcRHE
响应:
HTTP/2 404 Not Found
Content-Type: text/plain; charset=utf-8
Date: Sat, 24 Jan 2026 08:45:16 GMT
Alt-Svc: h3=":443"; ma=2592000,h3-29=":443"; ma=2592000
Not found: '/v1/CheckNumberPortStatus'
这看起来很像一个 Envoy代理 错误,我从未在 *.googleapis.com 域名上见过这类错误。我和Michael分享了这一点,他恰巧注意到URL https://gfibervoice-pa.googleapis.com 开始重定向到 /statusz(这是一个404页面)。然后他使用后缀”z”在域名上运行了 ffuf,发现了更多路径:
appsframeworkz
bouncerz
bpfz
btz
bugz
cacheserverz
cdpushz
censusz
choicez
codez
...
其中大多数被403阻止。然而,/btz 似乎返回状态200:
gfibervoice-pa.googleapis.com/btz?tablet_cache_table=mix-qk/METADATA
这就是所谓的 zhandler。这些通常只应该在谷歌内网中访问。在这种情况下,它没有太大用处,但它往往从 Borg 泄露调试信息。
如果你能访问 /flagz(来自暴露的zhandler,或者 通过bugSWAT期间暴露的内网Wi-Fi热点…),你实际上可以通过拉取运行服务的 .class 文件来找到API密钥。
AdExchange账户劫持 (ATO)
AdExchange 是谷歌的广告管理平台,允许发布商(网站、应用等)出售广告空间。最初,AI发现了一个非常有趣的端点,似乎能通过单个请求转储所有AdExchange账户的列表:
(请求与响应格式略)
关于这个API的有趣之处在于,它 实际上是公开的,但是这个端点隐藏在一个可见性标签后面,只有 google.com:ad-exchange-buyer-fe 可以访问。
起初,我无法从这里获得更多信息,因为所有其他有趣的账户相关端点似乎都返回 PERMISSION_DENIED,但当AI报告了这个发现时,情况发生了变化:
(请求与响应格式略)
所有在正式环境中被 PERMISSION_DENIED 阻止的账户相关端点,在这里都没有访问控制,可以正常访问!
起初,考虑到主机名 test-adexchangebuyer-googleapis.sandbox.google.com,我以为只有预发布环境受到影响。然而,当我测试一个我之前从正式环境泄露的已知测试账户ID时,它竟然可以正常使用:
(请求与响应格式略)
事实证明,即使这些端点在正式环境中被阻止,预发布环境 (test-adexchangebuyer-googleapis.sandbox.google.com) 实际上指向的是正式环境的数据!
看起来甚至有可能将自己添加到任何AdExchange账户中:
(请求与响应格式略)
然而,我没有被白名单加入UI (admanager.google.com),因此无法访问实际的应用前端。我为这个API报告了单独的两个问题,总计获得了 $30,000 的赏金。
eldar.corp.google.com
Eldar 似乎是一个仅供谷歌内部员工使用的网站,用于管理内部隐私请求/评估。虽然前端本身因为位于 *.corp.google.com 而受到 ÜberProxy 的保护,但API本身却在 eldar-pa.clients6.google.com 上公开暴露,允许非谷歌员工查询任何他们想要的内容。
鉴于Eldar上的信息性质,这一点尤其有趣。例如,你可以看到访问谷歌内部日志的请求:
(请求与响应格式略)
整个JSON相当庞大,看起来像是谷歌内部的一个日志访问请求。我无法访问实际的UI(因为资产都托管在 eldar.corp.google.com 上),但我构建了这个小UI来查看从评估返回的所有JSON。
也可以创建和分享你自己的评估。我最初发现AI找到这个漏洞是因为我收到了许多来自Eldar的邮件。
他们最初通过阻止 eldar-pa.clients6.google.com 公开访问来修复这个漏洞(我猜想他们将其转移到了ÜberProxy后面的 *.corp.googleapis.com 地址),但仍然可以通过 autopush-eldar-pa-googleapis.sandbox.google.com 访问这个API,我向他们报告了这一点。
从与一些谷歌员工交谈中,我了解到一些有趣的事情——似乎Eldar是产品团队在定义应用程序安全边界的地方,区分哪些是故意的,哪些不是。
这个漏洞根据以下标准获得了总计 $26,674 赏金:普通谷歌应用。漏洞类别为”绕过重大安全控制”,涉及PII或其他机密信息。 x2
泄露YouTube未列出视频
如果你读过 我之前的博客文章 关于我发现的一个泄露YouTube创作者电子邮件地址的漏洞,我介绍了YouTube合作伙伴如何有一个隐藏的 CONTENT_OWNER_TYPE_IVP(又名”torso”)内容管理器账户与其关联。事实证明,每当创作者上传视频到他们的频道时,就会为这些视频创建资产。
根据 内容ID API文档,资产资源代表一件知识产权,例如录音或电视节目集:
(资产示例格式略)
出于某种原因,不仅为上传的未列出视频创建了资产,而且WEB资产的名称还会泄露上传视频的视频ID,格式为 Auto generated asset - <video_id>。因此,通过搜索内容ID资产中”Auto generated asset – “的内容,可以泄露YouTube创作者未列出视频的ID,并将其置于格式为 https://www.youtube.com/watch?v=<video_id> 的URL中观看未列出的视频。
我们可以直接使用谷歌的API探索器进行此操作,通过特定的URL请求,这将泄露所有在指定时间段内由YouTube合作伙伴计划频道上传的视频的视频ID,包括未列出和私有的视频ID。
(响应示例格式略)
这种攻击在现实世界中极具实用性。任何人都可以每30秒左右发送一次请求,以获得每个合作伙伴上传的未列出视频的实时信息流。为什么这很重要?像 Polymarket 这样的预测市场允许人们对未来事件的结果下注,包括像谷歌 下一个Gemini模型何时发布 这样的事情。
公司通常在公开发布前,会先将产品公告视频作为未列出视频上传,用于内部测试。有人滥用这个漏洞可以监视这些预公告上传,并根据内幕信息下注,本质上是将一个漏洞变成了印钞机。
根据以下标准获得了 $12,000 赏金:这份报告质量极高!漏洞可能泄露特别敏感用户数据的域名。漏洞类别为”绕过重大安全控制”,涉及其他数据/系统。
Widevine账户劫持 (ATO)
Widevine是Widevine Technologies开发、谷歌于2010年收购的数字版权管理 (DRM) 技术。它是世界上部署最广泛的DRM系统之一,被迪士尼或Netflix等公司用来保护高级视频内容不被复制或盗版。
谷歌为这些合作伙伴提供了访问 管理门户 来管理他们的Widevine密钥。通常,这些合作伙伴仪表板应用是完全公开阻止的,但奇怪的是,这个特定的应用虽然公开可访问,但你不能实际管理任何其他配置文件。
AI不同意这个说法——事实证明,虽然前端看起来没什么,但API本身却告诉我们另一个故事。通过发送请求,它转储了在其Widevine门户上拥有账户的所有组织。你甚至可以查看他们所有的Widevine密钥,并且API甚至提供了用于解码AES密钥的接口。不仅如此,你还可以列出任何Widevine组织的用户,或者直接将你自己添加到任何你希望加入的组织。
(请求与响应细节略)
如果你现在访问其设备系列管理页面,你就可以开始为该组织管理设备了。
根据以下标准获得了 $16,004.40 赏金:这份报告质量极高!普通谷歌应用。漏洞类别为”绕过重大安全控制”,涉及PII或其他机密信息。
plx.corp.google.com
PLX表格是谷歌内部的数据分析和仪表盘平台,仅供谷歌员工使用。你可以在 xg2xg仓库 中看到它。许多谷歌服务与此集成用于数据分析,尤其是YouTube。
AI最初在内部DataHub API中发现了这个有趣的端点,用于建议表格。另外,AI还发现,你可以在预发布API上使用 setIamPolicy 将自己添加为整个数据集的admin。
完成此操作后,你可以转储所有数据集条目。响应是巨大的(数GB),充满了大量机密的YouTube信息。
(数据细节和响应片段略)
这些表格似乎包含了大量的YouTube用户数据。关于DataHub的有趣之处在于,这实际上是PLX在决定是否允许查询运行时检查的底层访问控制列表。我报告了这一点,不到一小时它就被接受为 P0/S0。
事实证明,这个漏洞只存在于预发布环境(它是正式环境的镜像),因此,尽管从理论上讲DataHub的访问控制列表用于对底层数据的授权检查,但无法证明表格本身可以被查询。因此,两个漏洞都被奖励了 $12,000,按照2倍 这份报告质量极高!普通谷歌应用。漏洞类别为”绕过重大安全控制”,涉及其他数据/系统。
去匿名化Nest设备所有者
这个漏洞很有趣,因为它让我想起了我发现的第一个谷歌漏洞。AI标记了 nestauthproxyservice-pa.googleapis.com 上一个未经认证的端点,它接收一个Nest设备ID并返回设备所有者的 未混淆的Gaia ID。
Nest的 id 字段只是一个连续的整数。递增它会遍历每一个曾经设置过的Nest设备,并转储其所有者的未混淆的Gaia ID。这本身已经是一个去匿名化的手段,但未混淆的Gaia ID并不是电子邮件,所以我需要一种方法来解析它们。
这时第二个漏洞就派上用场了。Play Books Private API有一个许可管理流程,你可以授予自己一个免费许可,然后将任意未混淆的Gaia ID添加为许可所有者。响应会回显每一个许可所有者,并附带他们的 电子邮件。
将两者结合起来:递增Nest ID -> 受害者的未混淆Gaia ID -> Play Books许可所有者添加 -> 电子邮件。
特别有趣的部分是 licenseOwner 接受一个数组,因此你可以每请求解析数百个Gaia ID,而且未混淆的Gaia ID本身是连续的。理论上,你可以遍历整个Gaia ID空间,并转储曾经存在过的每个Gaia账户的电子邮件。
Vertex AI Translation Hub
Translation Hub 是谷歌云的产品,用于管理大规模文档翻译工作流。AI在API中发现了许多访问控制问题。
- 未经认证的
ListOperations:该端点不需要OAuth令牌,只需GCP项目编号和API密钥,会泄露内部服务账户、GCS存储桶名称等信息。 - 跨租户翻译员 + 任务元数据泄露:两个方法仅凭有效Bearer令牌就可泄露其他租户的翻译员信息和任务元数据。
- 跨租户写入 -> 通过
UpdateProjectConfig实现的GCS数据渗出:UpdateProjectConfig没有授权检查,且可以利用共享服务账户的权限读取受害者GCS中的私有文件。
这三个漏洞总计获得了 $36,500 的赏金。
YouTube TV CMS (内容管理系统)
这个漏洞影响尤其大。如果你读过我之前的文章,会知道YouTube CMS(内容管理器)账户有能力对YouTube上的任何视频进行版权打击、声明或货币化。这个API是专门为面向电视合作伙伴的公开面板创建的。
API上的活动相关端点完全没有访问控制检查。GET /v1/campaigns 返回系统中的所有活动,没有按账户过滤。任何经过认证的谷歌账户都可以读取、修改、复制、存档或删除系统中的任何活动,这附带的效果是泄露了所有这些敏感CMS账户的电子邮件地址。
(请求与响应细节略)
除了读取,其余CRUD界面也存在同样的访问控制缺失。PATCH /v1/campaigns:update、POST /v1/campaigns:copy、POST /v1/campaigns:bulkUpdate 和 POST /v1/campaigns:delete 都可以通过ID对任何活动进行操作。
根据以下标准获得了 $24,000 赏金:这份报告质量极高!漏洞可能泄露特别敏感用户数据的域名。漏洞类别为”绕过重大安全控制”,涉及PII或其他机密信息。
Vertex AI Search for Commerce (用于商务搜索的Vertex AI)
用于商务搜索的Vertex AI 是谷歌云的产品,用于将搜索和推荐嵌入零售网站。
retail.googleapis.com 上的 conversationalSearchCustomizationConfig 端点没有授权检查。任何经过认证的谷歌账户都可以读取或修改任何GCP项目的配置,无需目标项目的任何权限。
读取受害者的配置:可以获取受害者的模型前言(系统提示)、每个带有内部原因的分类示例,以及任何阻止列表关键词。
写入受害者的配置:可以重写模型前言为任意内容,篡改分类示例,并更改零售商的显示名称。攻击者可以将提示注入有效载荷直接注入受害者面向客户的搜索AI。
根据以下标准获得了 $30,000 赏金:这份报告质量极高!漏洞类别为”单服务权限提升 – 写入”。无需攻击者与受害者之间交互或关系的漏洞。谷歌云产品,等级1。 云VRP专家组还指出这是之前一个问题的重复报告,但由于报告帮助确定了额外的影响,仍然进行了奖励。
Cloud Console GraphQL (云控制台GraphQL)
在谷歌,并非所有 *.googleapis.com 服务都能在互联网上公开访问。其中许多只在 *.corp.googleapis.com 域名上在内部可用。然而,通过各种”代理”表面(如Google Classroom中的batchexecute端点或Cloud Console中的GraphQL API),我们可以间接访问它们。
Cloud Console使用GraphQL API,这些API通过查询签名进行保护。但当AI扫描预发布环境时,发现内省功能被启用,并且未经认证的查询可以绕过签名验证。
于是我们与Michael合作,重新设计了模糊测试基础设施以支持GraphQL。我们通过内省抓取了所有实体/模式对,并引入“查询路径”的概念来识别需要测试的API“方法”。我们还替换了工具,并构建了前端用于手动测试。
我们发现了不少漏洞。
App Engine请求日志泄露
GaeEntityService/GAE_GRAPHQL 模式中的 GetDashboardAppStats 查询存在漏洞。它会返回给定项目过去24小时的App Engine请求日志,但从不验证调用者对该项目是否有任何IAM权限,甚至不需要认证。
(请求与响应细节略)
请求URL通常包含密码重置链接、Webhook、令牌等,可能允许敏感操作。我们录制了一个短视频来演示影响。
根据以下标准获得了 $18,000 赏金:这份报告质量极高!漏洞类别是”单服务权限提升 – 读取”。无需攻击者与受害者之间交互的漏洞。谷歌云产品,等级1。由于结果仅限于读取访问日志且影响高度依赖受害者设置,应用了降级。 此漏洞被分配了 CVE-2026-8934。
Vertex Assistant
AI在 AiplatformEntityService 中发现了一些可疑的未经认证的GraphQL查询。AgentListSessions 查询似乎完全缺乏认证。通过逆向工程大量前端JavaScript,我们发现该功能是 Vertex Assistant(一个用于选择AI模型和回答Vertex AI平台问题的聊天助手)。
为了测试漏洞,我们首先需要通过客户端强制启用隐藏的功能标志。一旦我们可以填充会话,我们检查了GraphQL流量。AIPLATFORM_GRAPHQL 模式中的相关查询(AgentListSessions、AgentGetSession、AgentCreateSession、AgentRunAgent 和 AgentRunStreamAgent)都没有检查任何认证或授权,仅由你传入的 userId 决定作用域。
因此,如果你知道目标用户的电子邮件,你可以列出他们的会话、读取每个对话记录、向聊天中追加消息或以他们的名义创建/删除会话。
根据以下标准获得了 $30,000 赏金:影响谷歌云产品的“单服务权限提升 – 写入”漏洞,等级1域名。我们想承认你的报告质量极高。尽管受影响的系统尚未发布且不包含客户数据,我们为此奖励破例,未来可能不会奖励类似的报告。
Google Maps Platform (谷歌地图平台) 账单积分泄露
MapsEntityService/GMP_GRAPHQL 中的 ListBillingAccountCredits 查询没有认证或授权检查。更糟糕的是,传递通配符父路径 accounts/- 会返回大量Google Maps Platform账单账户的积分信息。
(请求与响应细节略)
响应中包含每个客户的账单账户ID、积分计划、美元金额、审批状态以及一个自由填写的 justification 字段。该字段是谷歌员工在审批积分时任意填写的,未经过滤地返回。其中包含了谷歌员工留下的客户PII。
根据以下标准获得了 $12,000 赏金:这份报告质量极高!普通谷歌应用。漏洞类别为”绕过重大安全控制”,涉及PII或其他机密信息。应用了降级,因为攻击可能产生的影响较小。 谷歌地图团队后来澄清这只影响一部分客户。
总结
这个系统运行了三个月,发现了超过 $500,000 美元的赏金,这里只介绍了一部分。大多数谷歌漏洞不需要巧妙的利用,只需要耐心。相同的破坏模式无处不在:跨租户资源缺少IAM检查、没有授权的GraphQL模式、正式环境中的调试端点、指向正式数据的沙盒环境。AI的工作不是创新,而是在一个对人类来说过于庞大而无法全面覆盖的攻击面上,不知疲倦地寻找那些显而易见的问题。
一些收获:
- 基于
operation_id的重放系统使整个工作流程高效。没有一键确认,AI的输出就是无用的噪音。 - 有了发现文档、GraphQL SDL或原型文件,AI就知道为API提供什么输入才能进行有意义的测试。
- 谷歌服务器端的攻击面非常标准化。如果你能将大部分基础设施细节对AI进行抽象,它就可以花更多时间测试实际的API,而不是研究基础设施的怪癖。
非常感谢 Michael Dalton 在GraphQL方面的合作(并共同撰写了本文的该部分),感谢谷歌VRP团队耐心修复所有这些漏洞,还要感谢邀请我参加bugSWAT Mexico的任何人,这一切都始于那里。
原文:https://brutecat.com/articles/hacking-google-with-ai/
- END –
感谢阅读,如果觉得还不错的话,动动手指给个三连吧~
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:骨哥说事 骨哥说事 骨哥说事《用AI入侵谷歌,获得50万美元赏金【下】》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论