David Schütz, un ricercatore di sicurezza, ha appena pubblicato un rapporto che descrive in dettaglio una vulnerabilità di sicurezza di YouTube che potrebbe rendere i video privati visibili a risoluzione ridotta. Per sfruttare la falla, un utente malintenzionato avrebbe bisogno di sapere (o indovina) l'identificatore del video. Naturalmente, anche il know-how tecnico è necessario per utilizzare questo difetto.
Per fortuna, la vulnerabilità di YouTube è stata risolta da gennaio 2020, ed è stato segnalato a Google tramite il suo Vulnerability Rewards Program. Tuttavia, è stato solo un paio di giorni fa che il problema è diventato noto al pubblico.
Così, come ha fatto il ricercatore a scoprire la vulnerabilità di YouTube?
“A dicembre 2019, pochi mesi dopo aver iniziato ad hackerare su Google VRP, Stavo guardando YouTube. Volevo trovare un modo per accedere a un video privato che non possedevo," Schütz ha condiviso nella sua relazione.
Ha trovato una vulnerabilità in un sistema chiamato Moments, che consente agli inserzionisti di contrassegnare un frame specifico in qualsiasi video. Per farla breve, ha scoperto che contrassegnare un momento tramite questo sistema generava una richiesta POST all'endpoint / GetThumbnails e restituiva un'immagine di anteprima con codifica base64 dal video. Effettuare questa richiesta utilizzando l'identificatore di un video privato produrrebbe comunque un'immagine in miniatura.
“Guardando i log del proxy, ogni volta che ho "segnato un momento", è stata effettuata una richiesta POST a un endpoint / GetThumbnails, con un corpo che includeva un ID video," lui disse. Per richiedere una serie di singoli frame e creare una sequenza vicina al video privato originale, il ricercatore ha utilizzato Insecure Direct Object Reference (IDOR). Secondo il suo articolo tecnico, voleva anche creare un codice PoC:
Volevo creare una prova del concetto di script Python che genera un file, video in movimento. Ho cercato alcuni calcoli, e ho capito che se il video è in formato 24 FPS, un fotogramma rimane sullo schermo per 33 millisecondi. Quindi devo solo scaricare ogni immagine a partire da 0 millisecondi, incrementando di 33 millisecondi ogni volta, e poi costruire una sorta di video utilizzando tutte le immagini che ho acquisito.
Usando questo metodo, Schütz potrebbe scaricare le miniature per una sequenza di fotogrammi.
Ho scritto un POC veloce e sporco che ha scaricato i frame per primo 3 secondi di un video, li ha decodificati, e quindi ha generato una GIF. Per provarlo, L'ho eseguito su un mio vecchio video, che avevo precedentemente privato a causa di, naturalmente, l'alto livello di rabbia.
Naturalmente, la vulnerabilità di YouTube che ha scoperto e il metodo per sfruttarla hanno dei limiti. Prima di tutto, l'attaccante dovrebbe conoscere l'ID del video personale preso di mira. Poiché la tecnica si basa solo sulle immagini, l'autore dell'attacco non è riuscito ad accedere all'audio. E infine, il risultato arriva con una risoluzione molto bassa.
La morale della storia è che l'interazione di due prodotti (YouTube e il sistema Moments) può portare a vulnerabilità se gli sviluppatori non stanno attenti. Questa area di intersezione è anche un'ottima area per la ricerca, come ha sottolineato.
A maggio 2020, I ricercatori di Cisco Talos hanno riferito che il famigerato file Astaroth Trojan utilizzava le descrizioni dei canali YouTube come parte di "un meccanismo C2 ridondante con infrastruttura C2 primaria e secondaria". Gli aggressori hanno creato una serie di canali YouTube, sfruttando le descrizioni dei canali per stabilire e comunicare un elenco di domini di comando e controllo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: