デビッド・シュッツ, セキュリティ研究者, プライベートビデオを低解像度で表示する可能性のあるYouTubeのセキュリティの脆弱性を詳述したレポートを公開しました. 欠陥を悪用するには, 攻撃者は知る必要があります (または推測) ビデオ識別子. もちろん, この欠陥を使用するには、技術的なノウハウも必要です.
幸運, YouTubeの脆弱性は1月から修正されています 2020, 脆弱性リワードプログラムを通じてGoogleに報告されました. でも, この問題が一般に知られるようになったのは数日前のことでした。.
そう, 研究者はどのようにしてYouTubeの脆弱性に遭遇しましたか?
「12月に戻って 2019, GoogleVRPでハッキングを開始してから数か月後, 私はYouTubeを見ていました. 自分が所有していないプライベートビデオにアクセスする方法を見つけたかった,」 Schützは彼のレポートで共有しました.
彼はMomentsと呼ばれるシステムに脆弱性を発見しました, これにより、広告主は任意の動画の特定のフレームにマークを付けることができます. 短編小説, 彼は、このシステムを介して瞬間をマークすると、/ GetThumbnailsエンドポイントへのPOSTリクエストが生成され、base64でエンコードされたサムネイル画像が動画から返されることを発見しました。. プライベートビデオの識別子を使用してこのリクエストを行うと、サムネイル画像が生成されます.
「プロキシログを見る, 「瞬間をマークする」たびに, /GetThumbnailsエンドポイントに対してPOSTリクエストが行われました, ビデオIDを含むボディ付き," 彼は言った. 一連の個別のフレームをリクエストし、元のプライベートビデオに近いシーケンスを作成するには, 研究者は安全でない直接オブジェクトリファレンスを使用しました (IDOR). 彼の技術記事によると, 彼はまた、PoCコードを作成したかった:
実際のPythonスクリプトを生成する概念実証Pythonスクリプトを作成したかった, 動くビデオ. いくつかの計算を検索しました, そして、ビデオが 24 FPS, 1つのフレームが画面に残ります 33 ミリ秒. だから私はから始まるすべての画像をダウンロードする必要があります 0 ミリ秒, インクリメント 33 毎回ミリ秒, 次に、取得したすべての画像を使用して、ある種のビデオを作成します.
この方法を使用する, Schützはフレームシーケンスのサムネイルをダウンロードできます.
私は最初のフレームをダウンロードする迅速で汚いPOCを書きました 3 ビデオの秒, それらをデコードしました, 次にGIFを生成しました. それをテストするには, 私は私の古いビデオに対してそれを実行しました, 私が以前にプライベートにしていた, もちろん, 高レベルのクリンジ.
もちろん, 彼が発見したYouTubeの脆弱性とそれを悪用する方法には制限があります. 初めに, 攻撃者は、対象となる個人用ビデオのIDを知っている必要があります. テクニックは画像のみに基づいているので, 攻撃者は音声にアクセスできませんでした. そして最後に, 結果は非常に低い解像度になります.
物語の教訓は、2つの製品の相互作用です (YouTubeとモーメントシステム) 開発者が注意しないと脆弱性につながる可能性があります. この交差点は研究にも最適なエリアです, 彼が指摘したように.
5月 2020, Cisco Talosの研究者は、悪名高い Astarothトロイの木馬はYouTubeチャンネルの説明を使用していました 「プライマリC2インフラストラクチャとセカンダリC2インフラストラクチャの両方を備えた冗長C2メカニズム」の一部として. 攻撃者は一連のYouTubeチャンネルを確立しました, チャネル記述を活用して、コマンドアンドコントロールドメインのリストを確立および伝達します.