David Schütz, un chercheur en sécurité, vient de publier un rapport détaillant une vulnérabilité de sécurité de YouTube qui pourrait rendre des vidéos privées visibles à une résolution réduite. Pour exploiter la faille, un attaquant aurait besoin de savoir (ou devinez) l'identifiant de la vidéo. Bien sûr, un savoir-faire technique est également nécessaire pour utiliser cette faille.
Heureusement, la vulnérabilité YouTube a été corrigée depuis janvier 2020, et il a été signalé à Google via son programme Vulnerability Rewards. Cependant, ce n'est qu'il y a quelques jours que le problème est devenu connu du public.
Si, comment le chercheur a-t-il découvert la vulnérabilité YouTube?
«De retour en décembre 2019, quelques mois après avoir commencé à pirater sur Google VRP, Je regardais YouTube. Je voulais trouver un moyen d'accéder à une vidéo privée que je ne possédais pas," Schütz a partagé dans son rapport.
Il a trouvé une vulnérabilité dans un système appelé Moments, qui permet aux annonceurs de marquer une image spécifique dans n'importe quelle vidéo. Longue histoire courte, il a découvert que le marquage d'un moment via ce système générait une requête POST au point de terminaison / GetThumbnails et renvoyait une image miniature encodée en base64 à partir de la vidéo. Faire cette demande en utilisant l'identifiant d'une vidéo privée produirait toujours une image miniature.
"En regardant les journaux de proxy, chaque fois que j'ai «marqué un moment», une requête POST a été envoyée à un point de terminaison / GetThumbnails, avec un corps comprenant un identifiant vidéo," il a dit. Pour demander une série d'images individuelles et créer une séquence proche de la vidéo privée d'origine, le chercheur a utilisé la référence d'objets directs non sécurisés (IDOR). D'après sa rédaction technique, il voulait aussi créer un code PoC:
Je voulais faire un script Python de preuve de concept qui génère un réel, vidéo en mouvement. J'ai cherché quelques calculs, et compris que si la vidéo est en 24 FPS, une image reste à l'écran pendant 33 millisecondes. Il me suffit donc de télécharger chaque image à partir de 0 millisecondes, incrémenter de 33 millisecondes à chaque fois, puis construisez une sorte de vidéo en utilisant toutes les images que j'ai acquises.
En utilisant cette méthode, Schütz pourrait télécharger des miniatures pour une séquence d'images.
J'ai écrit un POC rapide et sale qui a téléchargé les cadres pour le premier 3 secondes d'une vidéo, les a décodés, puis a généré un GIF. Pour le tester, Je l'ai couru contre une vieille vidéo de la mienne, dont j'avais précédemment privé en raison de, bien sûr, le haut niveau de grincement des dents.
Bien sûr, la vulnérabilité YouTube qu'il a découverte et la méthode pour l'exploiter ont des limites. Tout d'abord, l'attaquant devrait connaître l'ID de la vidéo personnelle ciblée. Puisque la technique est uniquement basée sur des images, l'attaquant n'a pas pu accéder à l'audio. et enfin, le résultat est en très basse résolution.
La morale de l'histoire est que l'interaction de deux produits (YouTube et le système Moments) peut conduire à des vulnérabilités si les développeurs ne font pas attention. Cette zone d'intersection est également un excellent domaine de recherche, comme il l'a souligné.
En mai 2020, Les chercheurs de Cisco Talos ont rapporté que l'infâme Astaroth Trojan utilisait les descriptions de chaînes YouTube dans le cadre d'un «mécanisme C2 redondant avec une infrastructure C2 primaire et secondaire». Les attaquants ont créé une série de chaînes YouTube, tirer parti des descriptions de canaux pour établir et communiquer une liste de domaines de commande et de contrôle.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: