David Schütz, un investigador de seguridad, acaba de publicar un informe que detalla una vulnerabilidad de seguridad de YouTube que podría hacer que los videos privados sean visibles con una resolución reducida. Para explotar el defecto, un atacante necesitaría saber (o adivinar) el identificador de video. Por supuesto, También se necesitan conocimientos técnicos para utilizar este defecto.
Afortunadamente, la vulnerabilidad de YouTube se ha solucionado desde enero 2020, y se informó a Google a través de su Programa de Recompensas por Vulnerabilidad. Sin embargo, no fue hasta hace un par de días que el problema se dio a conocer al público.
Así, ¿Cómo se encontró el investigador con la vulnerabilidad de YouTube??
"En diciembre 2019, unos meses después de que comencé a piratear Google VRP, Estaba mirando YouTube. Quería encontrar una manera de acceder a un video privado que no era de mi propiedad.," Schütz compartió en su informe.
Encontró una vulnerabilidad en un sistema llamado Moments, que permite a los anunciantes marcar un fotograma específico en cualquier video. Larga historia corta, descubrió que marcar un momento a través de este sistema generaba una solicitud POST al punto final / GetThumbnails y devolvía una imagen en miniatura codificada en base64 del video. Hacer esta solicitud con el identificador de un video privado aún produciría una imagen en miniatura.
"Mirando los registros de proxy, cada vez que "marqué un momento", se realizó una solicitud POST a un punto final / GetThumbnails, con un cuerpo que incluía una identificación de video," él dijo. Para solicitar una serie de fotogramas individuales y crear una secuencia cercana al video privado original, el investigador usó la referencia de objeto directo inseguro (IDOR). Según su reseña técnica, también quería crear un código PoC:
Quería hacer una prueba de concepto de secuencia de comandos de Python que genera una, video en movimiento. Busqué algunos cálculos, y descubrí que si el video está en 24 FPS, un fotograma permanece en la pantalla durante 33 milisegundos. Así que solo tengo que descargar todas las imágenes a partir de 0 milisegundos, incrementando por 33 milisegundos cada vez, y luego construya algún tipo de video usando todas las imágenes que he adquirido.
Usando este método, Schütz podría descargar miniaturas para una secuencia de fotogramas.
Escribí un POC rápido y sucio que descargó los marcos por primera vez 3 segundos de un video, decodificarlos, y luego generó un GIF. Para probarlo, Lo he comparado con un video antiguo mío., que había privado anteriormente debido a, por supuesto, el alto nivel de vergüenza.
Por supuesto, la vulnerabilidad de YouTube que descubrió y el método para explotarla tienen limitaciones. Ante todo, el atacante tendría que conocer la identificación del video personal objetivo. Dado que la técnica solo se basa en imágenes, el atacante no pudo acceder al audio. Y finalmente, el resultado viene en una resolución muy baja.
La moraleja de la historia es que la interacción de dos productos (YouTube y el sistema Moments) puede generar vulnerabilidades si los desarrolladores no tienen cuidado. Esta área de intersección también es un área excelente para la investigación., como señaló.
En Mayo 2020, Los investigadores de Cisco Talos informaron que el infame Astaroth Trojan estaba usando descripciones de canales de YouTube como parte de "un mecanismo C2 redundante con infraestructura C2 primaria y secundaria". Los atacantes establecieron una serie de canales de YouTube., Aprovechar las descripciones de los canales para establecer y comunicar una lista de dominios de comando y control..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: