Δευτέρα, 23 Οκτώβριος 2017, 11:01 πμ

YouTube: Δυνατότητα διαγραφής βίντεο από κακόβουλους χρήστες

youtube bug

Ένας ερευνητής ασφαλείας ανακάλυψε μια απλή αλλά κρίσιμη ευπάθεια στον ιστότοπο YouTube, ιδιοκτησίας της Google, την οποία θα μπορούσε να χρησιμοποιήσει οποιοσδήποτε για να προκαλέσει σοβαρές δυσλειτουργίες στη λειτουργία της δημοφιλούς πλατφόρμας.

Την ανακάλυψη πραγματοποίησε ο Kamil Hismatulling, Ρώσος ερευνητής ασφαλείας, ο οποίος ανέφερε ότι με μερικές απλές κινήσεις θα μπορούσε κάποιος να διαγράψει οποιοδήποτε βίντεο, εκμεταλλευόμενος μια απλή λογική ευπάθεια.
Με τη χρήση του λογισμικού YouTube Creator Studio και ψάχνοντας για δυσλειτουργίες Cross-Site Scripting (XSS) ή Cross-Site Request Forgery (CSRF), ο Hismatullin ανακάλυψε ένα bug: διαγραφή βίντεο με την αποστολή του id του μέσω ενός post request σε ένα session token.

Το bug ήταν ιδιαίτερα απλό, εξίσου κρίσιμο όμως, καθώς ένας επιτιθέμενος θα μπορούσε να «κοροϊδέψει» το YouTube, ώστε να διαγράψει κάποιο βίντεο από το σύστημά του.

Δείτε παρακάτω το βίντεο με τη δραστηριότητα του ερευνητή:

 

Ο Hismatullin, μάλιστα, αστειευόμενος δήλωσε ότι πέρασε από το μυαλό του η σκέψη να διαγράψει το κανάλι του Bieber.

Ο ερευνητής ανέφερε το bug στη Google και μέσα σε λίγες ώρες το ζήτημα είχε λυθεί. Ως ανταμοιβή, έλαβε το χρηματικό ποσό των 5 χιλιάδων δολαρίων, καθώς και ένα συμπληρωματικό πριμ της τάξης των περίπου χιλίων πεντακοσίων δολαρίων.

Πριν από ένα μήνα περίπου, ένα απλό bug με αντίστοιχες «δυνατότητες» βρέθηκε και στα συστήματα του Facebook. Αν κάποιος το είχε εκμεταλλευτεί, θα μπορούσε να διαγράψει οποιαδήποτε φωτογραφία οποιουδήποτε χρήστη. Ωστόσο, και τότε το πρόβλημα είχε διορθωθεί εγκαίρως, χωρίς να προκύψουν περαιτέρω προβλήματα για τους χρήστες της δημοφιλούς ιστοσελίδας κοινωνικής δικτύωσης.

Δείτε επίσης:

WebUSB: Πάει σε άλλο επίπεδο τη σύνδεση συσκευών!

Δυο μηχανικοί της Goolge ανέπτυξαν ένα API, το οποίο ονόμασαν WebUSB. Το WebUSB επιτρέπει κάποιον χρήστη …