Το Google έχει επιδιορθώσει ένα flaw στο Youtube, το οποίο ανακαλύφθηκε από έναν Αιγύπτιο ερευνητή ασφάλειας. Η ευπάθεια επέτρεπε στον καθένα να μετακινήσει ή να αντιγράψει τα σχόλια από το ένα βίντεο σε άλλο χωρίς την παραμικρή αλληλεπίδραση με τον χρήστη.
Tην προήγουμενη βδομάδα, ο Ahmed aboul-Ela έγραψε στο blog του ότι, αυτός και ένας φίλος του, ο Ibrahim Mosaad, ανακάλυψαν το flaw που επέτρεπε σε αυτούς να αναπαραγάγουν ή να αντιγράψουν οποιαδήποτε σχόλια από ένα βίντεο στο YouTube σε ένα άλλο.
Ο Aboul-Ela έγραψε ότι, το ανακάλυψαν ενώ εξέταζαν τα χαρακτηριστικά γνωρίσματα της αναθεώρησης των σχολίων.
Αυτοί οι δύο ερευνητές εστίασαν κυρίως στη ρύθμιση που επιτρέπει στο χρήστη για να κρατήσει τα σχόλια για αναθεώρηση προτού αυτά δημοσιευθούν. Διαπίστωσαν ότι εάν εκείνο το χαρακτηριστικό γνώρισμα είναι enabled, τα σχόλια θα τοποθετηθούν σε έναν πίνακα ελέγχου επονομαζόμενο “held for review.”
Όταν ένας χρήστης σχολιάζει ένα βίντεο Youtube, εμφανίζεται το comment_id και το video_id στα post parameters. Τώρα, εάν κάποιος αλλάξει το video_id σε οποιαδήποτε άλλο video id, θα λάβει ένα μήνυμα σφάλματος. Παρόλ’ αυτά, εάν δεν πειράξει το video_id και αλλάξει μόνο το comment_id σε οποιαδήποτε άλλο comment-id οποιουδήποτε Youtube video, το αίτημα θα γίνει αποδεκτό και εκείνο το σχόλιο θα αντιγραφεί και θα εμφανιστεί στο βίντεό του/της.
«Ο συντάκτης του σχολίου δεν ειδοποιείται ότι το σχόλιό του αντιγράφεται σε ένα άλλο βίντεο, ούτε ειδοποιείται ότι το αρχικό σχόλιο από το αρχικό βίντεο αφαιρείται,» ο Αboul-Ela έγραψε.
Σύμφωνα με τα όσα είπε, το συγκεκριμένο flaw θα μπορούσε να χρησιμοποιηθεί για να κάνει ένα καλό video μη δημοφιλές. Και θα μπορούσε να έχει χρησιμοποιηθεί από κάποιους για να αντιγράψουν οποιοδήποτε σχόλιο διάσημων προσωπικοτήτων που έχει γίνει σε κάποιο video YouTube και να το κολλήσουν στα βίντεό τους.
Ο Aboul-Ela έγραψε ότι η Google αποφάσισε να του δώσει $3,133.7 δολλάρια ανταμοιβή, η οποία είναι και η μέγιστη πληρωμή για την αποκάλυψη των ευπαθειών στις κανονικές εφαρμογές Google.
