Huis > Cyber ​​Nieuws > Door een kwetsbaarheid van YouTube kunnen uw privévideo's worden gestolen
CYBER NEWS

Door een kwetsbaarheid van YouTube kunnen uw privévideo's worden gestolen

persoon YouTube mobiel apparaatDavid Schütz, een security-onderzoeker, heeft zojuist een rapport gepubliceerd waarin een beveiligingsprobleem in YouTube wordt beschreven dat privévideo's zichtbaar kan maken met een lagere resolutie. Om de fout te exploiteren, een aanvaller zou het moeten weten (of raad eens) de video-ID. Natuurlijk, technische knowhow is ook nodig om deze fout te gebruiken.

Gelukkig, de YouTube-kwetsbaarheid is sinds januari verholpen 2020, en het werd aan Google gerapporteerd via het Vulnerability Rewards-programma. Echter, het was pas een paar dagen geleden dat het probleem bekend werd bij het publiek.




Dus, hoe kwam de onderzoeker op de YouTube-kwetsbaarheid?

'In december 2019, een paar maanden nadat ik begon met hacken op Google VRP, Ik keek naar YouTube. Ik wilde een manier vinden om toegang te krijgen tot een privévideo die ik niet bezat," Schütz deelde in zijn rapport.

Hij vond een kwetsbaarheid in een systeem genaamd Moments, waarmee adverteerders een specifiek frame in elke video kunnen markeren. Om een ​​lang verhaal kort te maken, hij ontdekte dat het markeren van een moment via dit systeem een ​​POST-verzoek naar het / GetThumbnails-eindpunt genereerde en een met base64 gecodeerde miniatuurafbeelding van de video terugstuurde. Als u dit verzoek doet met behulp van de ID van een privévideo, wordt nog steeds een miniatuurafbeelding geproduceerd.

'Kijkend naar de proxy-logboeken, elke keer dat ik "een moment markeerde", er is een POST-verzoek gedaan naar een / GetThumbnails-eindpunt, met een hoofdtekst met een video-ID," hij zei. Om een ​​reeks individuele frames aan te vragen en een reeks te maken die dicht bij de originele privévideo ligt, de onderzoeker gebruikte de Insecure Direct Object Reference (IDOR). Volgens zijn technische beschrijving, hij wilde ook een PoC-code maken:

Ik wilde een proof of concept Python-script maken dat een actual, bewegende video. Ik zocht wat berekeningen, en kwam erachter dat als de video in 24 FPS, één frame blijft gedurende 33 milliseconden. Dus ik moet gewoon elke afbeelding downloaden vanaf 0 milliseconden, oplopend met 33 milliseconden elke keer, en maak dan een soort video met alle afbeeldingen die ik heb verkregen.

Met behulp van deze methode, Schütz kon miniaturen downloaden voor een framesequentie.

Ik heb een snelle en vuile POC geschreven die de frames voor de eerste keer heeft gedownload 3 seconden van een video, ze gedecodeerd, en vervolgens een GIF gegenereerd. Om het te testen, Ik heb het vergeleken met een oude video van mij, die ik eerder had besloten vanwege, natuurlijk, het hoge niveau van ineenkrimpen.

Natuurlijk, de YouTube-kwetsbaarheid die hij ontdekte en de methode om deze te exploiteren hebben beperkingen. Allereerst, de aanvaller zou de ID van de beoogde persoonlijke video moeten weten. Omdat de techniek alleen op afbeeldingen is gebaseerd, de aanvaller heeft geen toegang tot audio. En tenslotte, het resultaat komt in een zeer lage resolutie.

De moraal van het verhaal is dat de interactie van twee producten (YouTube en het Moments-systeem) kan leiden tot kwetsbaarheden als ontwikkelaars niet voorzichtig zijn. Dit kruispunt is ook een uitstekend onderzoeksgebied, zoals hij aangaf.


In mei 2020, Cisco Talos-onderzoekers meldden dat de beruchte Astaroth Trojan gebruikte YouTube-kanaalbeschrijvingen als onderdeel van "een redundant C2-mechanisme met zowel primaire als secundaire C2-infrastructuur". De aanvallers hebben een reeks YouTube-kanalen opgezet, gebruikmakend van de kanaalbeschrijvingen om een ​​lijst met command-and-control-domeinen op te stellen en te communiceren.

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens