David Schütz, ein Sicherheitsforscher, Ich habe gerade einen Bericht veröffentlicht, in dem eine Sicherheitslücke in YouTube beschrieben wird, durch die private Videos mit reduzierter Auflösung sichtbar werden können. Den Fehler ausnutzen, Ein Angreifer müsste es wissen (oder raten) die Video-ID. Natürlich, Um diesen Fehler zu beheben, ist auch technisches Know-how erforderlich.
Zum Glück, Die YouTube-Sicherheitsanfälligkeit wurde seit Januar behoben 2020, und es wurde Google über sein Vulnerability Rewards-Programm gemeldet. Jedoch, Erst vor ein paar Tagen wurde das Problem der Öffentlichkeit bekannt.
So, Wie ist der Forscher auf die YouTube-Sicherheitslücke gestoßen??
„Im Dezember 2019, ein paar Monate nachdem ich angefangen hatte, Google VRP zu hacken, Ich habe mir YouTube angesehen. Ich wollte einen Weg finden, um Zugang zu einem privaten Video zu erhalten, das ich nicht besaß," Schütz teilte in seinem Bericht.
Er fand eine Schwachstelle in einem System namens Moments, Dadurch können Werbetreibende einen bestimmten Frame in einem beliebigen Video markieren. Um es kurz zu machen, Er entdeckte, dass das Markieren eines Augenblicks über dieses System eine POST-Anforderung an den Endpunkt / GetThumbnails erzeugte und ein base64-codiertes Miniaturbild aus dem Video zurückgab. Wenn Sie diese Anforderung unter Verwendung der Kennung eines privaten Videos stellen, wird weiterhin ein Miniaturbild erstellt.
„Sehen Sie sich die Proxy-Protokolle an, jedes Mal, wenn ich "einen Moment markiert" habe, Eine POST-Anforderung wurde an einen / GetThumbnails-Endpunkt gesendet, mit einem Körper, der eine Video-ID enthielt," er sagte. Anfordern einer Reihe einzelner Frames und Erstellen einer Sequenz in der Nähe des ursprünglichen privaten Videos, Der Forscher verwendete die Insecure Direct Object Reference (IDOR). Nach seiner technischen Beschreibung, Er wollte auch einen PoC-Code erstellen:
Ich wollte ein Proof-of-Concept-Python-Skript erstellen, das eine tatsächliche generiert, Video bewegen. Ich habe nach Berechnungen gesucht, und herausgefunden, dass, wenn das Video in ist 24 FPS, Ein Bild bleibt auf dem Bildschirm für 33 Millisekunden. Also muss ich einfach jedes Bild ab herunterladen 0 Millisekunden, inkrementieren um 33 jedes Mal Millisekunden, und dann konstruiere eine Art Video mit allen Bildern, die ich aufgenommen habe.
Mit dieser Methode, Schütz konnte Thumbnails für eine Frame-Sequenz herunterladen.
Ich habe einen schnellen und schmutzigen POC geschrieben, der die Frames zum ersten Mal heruntergeladen hat 3 Sekunden eines Videos, entschlüsselt sie, und dann ein GIF generiert. Um es zu testen, Ich habe es gegen ein altes Video von mir laufen lassen, was ich vorher wegen privatisiert hatte, Natürlich, das hohe Maß an Erschütterungen.
Natürlich, Die von ihm entdeckte YouTube-Sicherheitslücke und die Methode, sie auszunutzen, weisen Einschränkungen auf. Zunächst, Der Angreifer müsste die ID des persönlichen Zielvideos kennen. Da die Technik nur auf Bildern basiert, Der Angreifer konnte nicht auf Audio zugreifen. Und schlussendlich, Das Ergebnis ist eine sehr niedrige Auflösung.
Die Moral der Geschichte ist, dass das Zusammenspiel zweier Produkte (YouTube und das Moments-System) kann zu Sicherheitslücken führen, wenn Entwickler nicht vorsichtig sind. Dieser Kreuzungsbereich ist auch ein ausgezeichneter Bereich für die Forschung, wie er betonte.
Im Mai 2020, Cisco Talos-Forscher berichteten, dass die berüchtigten Astaroth Trojan verwendete YouTube-Kanalbeschreibungen als Teil eines „redundanten C2-Mechanismus mit primärer und sekundärer C2-Infrastruktur“. Die Angreifer richteten eine Reihe von YouTube-Kanälen ein, Nutzen Sie die Kanalbeschreibungen, um eine Liste von Befehls- und Steuerungsdomänen zu erstellen und zu kommunizieren.