David Schütz, um pesquisador de segurança, acaba de publicar um relatório detalhando uma vulnerabilidade de segurança do YouTube que pode tornar vídeos privados visíveis em resolução reduzida. Para explorar a falha, um invasor precisa saber (ou adivinhe) o identificador de vídeo. Claro, know-how técnico também é necessário para usar esta falha.
Felizmente, a vulnerabilidade do YouTube foi corrigida desde janeiro 2020, e foi relatado ao Google por meio de seu Programa de Recompensas de Vulnerabilidade. Contudo, só alguns dias atrás o problema se tornou conhecido do público.
assim, como o pesquisador descobriu a vulnerabilidade do YouTube?
“Em dezembro 2019, alguns meses depois de começar a hackear no Google VRP, Eu estava olhando no youtube. Eu queria encontrar uma maneira de obter acesso a um vídeo privado que não era meu,” Schütz compartilhou em seu relatório.
Ele encontrou uma vulnerabilidade em um sistema chamado Moments, que permite aos anunciantes marcar um quadro específico em qualquer vídeo. Longa história curta, ele descobriu que marcar um momento por meio deste sistema gerou uma solicitação POST para o endpoint / GetThumbnails e retornou uma imagem em miniatura codificada em base64 do vídeo. Fazer essa solicitação usando o identificador de um vídeo privado ainda produziria uma imagem em miniatura.
“Olhando para os logs de proxy, toda vez que eu “marquei um momento”, uma solicitação POST foi feita para um endpoint / GetThumbnails, com um corpo que incluía um ID de vídeo," ele disse. Para solicitar uma série de frames individuais e criar uma sequência próxima ao vídeo privado original, o pesquisador usou o Insecure Direct Object Reference (IDOR). De acordo com sua redação técnica, ele também queria criar um código PoC:
Eu queria fazer uma prova de conceito de script Python que gera um verdadeiro, vídeo em movimento. Eu procurei alguns cálculos, e descobri que se o vídeo estiver em 24 FPS, um quadro permanece na tela por 33 milissegundos. Então eu só tenho que baixar todas as imagens começando por 0 milissegundos, incrementando por 33 milissegundos todas as vezes, e então construir algum tipo de vídeo usando todas as imagens que adquiri.
Usando este método, Schütz poderia baixar miniaturas para uma sequência de quadros.
Eu escrevi um POC rápido e sujo que baixou os frames do primeiro 3 segundos de um vídeo, decodificou-os, e então gerou um GIF. Para testar, Eu comparei com um vídeo antigo meu, que eu tinha anteriormente privado devido a, claro, o alto nível de medo.
Claro, a vulnerabilidade do YouTube que ele descobriu e o método para explorá-la têm limitações. Em primeiro lugar, o invasor deve saber a ID do vídeo pessoal alvo. Já que a técnica é baseada apenas em imagens, o invasor não conseguiu acessar o áudio. E finalmente, o resultado vem em uma resolução muito baixa.
A moral da história é que a interação de dois produtos (YouTube e o sistema Moments) pode levar a vulnerabilidades se os desenvolvedores não forem cuidadosos. Esta área de intersecção também é uma excelente área para pesquisa, como ele apontou.
Em maio 2020, Pesquisadores do Cisco Talos relataram que o infame Astaroth Trojan estava usando descrições de canais do YouTube como parte de "um mecanismo C2 redundante com infraestrutura C2 primária e secundária". Os atacantes estabeleceram uma série de canais no YouTube, aproveitando as descrições do canal para estabelecer e comunicar uma lista de domínios de comando e controle.