Błąd serwisu YouTube pozwalał na kopiowanie komentarzy z jednego filmu do drugiego

Egipski badacz bezpieczeństwa powiedział, że Google naprawił interesującą lukę, którą znalazł wraz z kolegą w YouTube.

Ahmed Aboul-Ela napisał na swoim blogu, że on i inny badacz, Ibrahim Mosaad, chcieli znaleźć problem w funkcji na YouTube, „którą testowało niewielu łowców błędów”.

Skoncentrowali się na ustawieniu w YouTube, które przechowuje komentarze do recenzji przed ich opublikowaniem. Jeśli ta funkcja jest włączona, komentarze są następnie wyświetlane na panelu sterowania z etykietą „przeznaczone do recenzji”.

Aboul-Ela napisał, że przechwycił żądanie http, które jest wysyłane do Google po zatwierdzeniu komentarza. Żądanie zawiera dwa parametry: „comment_id” i „video_id”.

Napisał, że błąd jest zwracany, jeśli identyfikator_wideo zostanie zmieniony na inny. Ale YouTube zaakceptował zmianę numeru content_id na inny film, co spowodowało skopiowanie komentarza do tego filmu.

„Oryginalny komentarz z oryginalnego filmu nie jest usuwany, a autor komentarza nie otrzymuje powiadomienia, że ​​jego komentarz został skopiowany do innego filmu”, napisał Aboul-Ela.

Wada mogła być wykorzystana na wiele sposobów. Można go użyć, aby wyglądało na to, że wideo jest bardziej popularne niż w rzeczywistości. Aboul-Ela napisał też, że można go użyć do fałszywego przedstawienia osoby lub osoby publicznej skomentowanej przez kogoś.

Google naprawiło tę lukę w ciągu tygodnia od otrzymania powiadomienia 25 marca i wypłaciło nagrodę w wysokości 3 133,70 USD.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.