Vulnerabilidade no Youtube exibia histórico do usuário

Shape Image One
Vulnerabilidade no Youtube exibia histórico do usuário

Olá! Wellington Agápto por aqui. Hoje eu trouxe uma notícia sobre como uma vulnerabilidade no Youtube exibia histórico do usuário. Abrir um site com um vídeo do YouTube embutido permitiu potencialmente que os malfeitores acessassem o histórico de exibição, favoritos e listas de reprodução de um usuário.
 

Como a vulnerabilidade funciona?

A Vulnerabilidade foi descoberta pelo pesquisador de segurança David Schutz que explicou a falha: “Como o player incorporado do YT também está conectado ao YT, um site malicioso pode ter incorporado um player, instruído a tocar, por exemplo, a lista de reprodução ‘HL’ (que começaria a reproduzir o histórico de exibição do usuário atualmente visitante), e obter o conteúdo das listas de reprodução usando a API do player incorporado, roubando assim o histórico de exibição do usuário que abriu o site.
Ele continuou: “O invasor também pode ter preparado uma página para uma vítima específica, que, quando aberta por essa vítima, roubaria os vídeos não listados da vítima (que, de outra forma, exigiria saber a identidade para assistir).”
A postagem do blog de Schutz continua listando outras maneiras de explorar o bug.

“O principal problema era que você conseguia carregar listas de reprodução privadas no player em nome da vítima e, posteriormente, roubar o conteúdo dessas listas de reprodução privadas”, conclui ele.

 

Recompensa

A falha de segurança rendeu uma recompensa modesta de US $ 1.337 do Google – foi descoberta pelo pesquisador de segurança David Schutz, que divulgou suas descobertas no início desta semana por meio de uma postagem técnica detalhada no blog .
 

Como a vulnerabilidade foi descoberta

Schutz explicou que descobriu a vulnerabilidade conectando duas coisas de uma forma um tanto “inesperada”
O YouTube (YT) tem um player incorporado que permite que os desenvolvedores de sites incorporem vídeos em seus próprios sites. Este player também possui uma API, que permite aos usuários controlar e obter informações sobre o player.
Isso permite ao usuário, por exemplo, reproduzir / pausar o player, carregar um novo vídeo / lista de reprodução e listar o conteúdo da lista de reprodução atualmente em execução.
Havia também uma lista de reprodução especial de uploads que, “quando vista pelo proprietário do canal, listava todos os vídeos enviados, incluindo os não listados”.
 

Quer tornar-se um especialista em produtos Microsoft?

Tenha acesso a vários cursos em uma única plataforma pagando apenas R$ 9,90 por mês.
Conheça o nosso Microsoft Club clicando aqui.