David Schütz, en sikkerhed forsker, offentliggjorde netop en rapport, der beskriver en sikkerhedssårbarhed på YouTube, der kunne gøre private videoer synlige med reduceret opløsning. At udnytte fejlen, en angriber skulle vide det (eller gætte) video-id'et. Selvfølgelig, teknisk viden er også nødvendig for at bruge denne fejl.
Heldigvis, YouTube-sårbarheden er rettet siden januar 2020, og det blev rapporteret til Google via dets sårbarhedsbelønningsprogram. Men, det var først for et par dage siden, at problemet blev kendt for offentligheden.
Så, hvordan kom forskeren på tværs af YouTube-sårbarheden?
”Tilbage i december 2019, et par måneder efter, at jeg begyndte at hacke på Google VRP, Jeg kiggede på YouTube. Jeg ville finde en måde at få adgang til en privat video, som jeg ikke ejede," Schütz delte i sin rapport.
Han fandt en sårbarhed i et system kaldet Moments, som giver annoncører mulighed for at markere en bestemt ramme i en hvilken som helst video. Kort fortalt, han opdagede, at markering af et øjeblik via dette system genererede en POST-anmodning til / GetThumbnails-slutpunktet og returnerede et base64-kodet miniaturebillede fra videoen. At stille denne anmodning ved hjælp af identifikatoren for en privat video vil stadig producere et miniaturebillede.
“Ser vi på proxy-logfiler, hver gang jeg "markerede et øjeblik", en POST-anmodning blev fremsat til et / GetThumbnails-slutpunkt, med et organ, der indeholdt et video-id," han sagde. At anmode om en række individuelle rammer og oprette en sekvens tæt på den originale private video, forskeren brugte Insecure Direct Object Reference (IDOR). Ifølge hans tekniske opskrivning, han ønskede også at oprette en PoC-kode:
Jeg ville lave et bevis på konceptet Python-script, der genererer en faktisk, bevægende video. Jeg søgte efter nogle beregninger, og regnede med, at hvis videoen er i 24 FPS, en ramme forbliver på skærmen i 33 millisekunder. Så jeg skal bare downloade hvert billede, der starter fra 0 millisekunder, stigning ved 33 millisekunder hver gang, og konstruer derefter en slags video ved hjælp af alle de billeder, jeg har erhvervet.
Brug af denne metode, Schütz kunne downloade miniaturebilleder til en rammesekvens.
Jeg skrev en hurtig og beskidt POC, der downloadede rammerne til den første 3 sekunder af en video, afkodede dem, og derefter genereret en GIF. At teste det, Jeg har kørt det mod en gammel video af mig, som jeg tidligere havde privatiseret pga, selvfølgelig, det høje niveau af krybe.
Selvfølgelig, YouTube-sårbarheden, han opdagede, og metoden til at udnytte den har begrænsninger. Først og fremmest, angriberen skulle kende id'et for den målrettede personlige video. Da teknikken kun er baseret på billeder, angriberen kunne ikke få adgang til lyd. Og endelig, resultatet kommer i en meget lav opløsning.
Historiens moral er, at interaktionen mellem to produkter (YouTube og Moments-systemet) kan føre til sårbarheder, hvis udviklere ikke er forsigtige. Dette krydsområde er også et fremragende forskningsområde, som han påpegede.
I maj 2020, Cisco Talos forskere rapporterede, at den berygtede Astaroth Trojan brugte YouTube-kanalbeskrivelser som en del af "en overflødig C2-mekanisme med både primær og sekundær C2-infrastruktur". Angriberne etablerede en række YouTube-kanaler, udnytte kanalbeskrivelserne til at oprette og kommunikere en liste over kommando-og-kontrol-domæner.