c.m.g
02-04-2015, 18:10
giovedì 2 aprile 2015
Un ricercatore di sicurezza trova una semplice soluzione per rimuovere dalla piattaforma qualsiasi video: Google ha provveduto a ricompensarlo e a correggere il bug, prima che qualcuno ne approfittasse
Roma - Avrebbe potuto cancellare da YouTube qualsiasi video caricato da chiunque, ma ha resistito alla tentazione di ridurre al silenzio frotte di teen star canterine per segnalare il problema a Google: il ricercatore di sicurezza russo Kamil Hismatullin aveva individuato (http://kamil.hism.ru/posts/about-vrg-and-delete-any-youtube-video-issue) un bug potenzialmente devastante per la piattaforma ed estremamente semplice da sfruttare.
https://www.youtube.com/watch?feature=player_embedded&v=NarxB7NG6e0
Sollecitato da Google nel contesto del programma (https://www.google.com/about/appsecurity/research-grants/) Vulnerability Research Grants a lavorare su una lista di prodotti e servizi, Hismatullin aveva scelto di concentrarsi su YouTube Creator Studio, a caccia di qualche ordinaria vulnerabilità di tipo Cross-site scripting o Cross-site request forgery. Dopo qualche ora di lavoro, si è trovato di fronte al bug: sperimentando con le richieste in POST, ha rilevato la possibilità di sfruttare il token di sessione estratto dal codice della pagina e di combinarlo con la stringa che identifica il singolo video, per determinarne la rimozione definitiva dalla piattaforma.
Per scongiurare episodi di vandalismo o estorsioni sotto la minaccia di cancellazione dei video, Hismatullin ha prontamente segnalato la falla a Google, e Goole ha prontamente provveduto (http://www.zdnet.com/article/youtube-fixes-bug-that-allowed-deleting-videos-remotely/) a sistemarla, omaggiando il ricercatore di 5mila dollari.Una simile vulnerabilità era stata rilevata nel mese di febbraio su Facebook: un ricercatore di sicurezza aveva trovato il modo di rimuovere senza ostacoli (http://www.7xter.com/2015/02/how-i-hacked-your-facebook-photos.html) intere collezioni di fotografie sul social network in blu.
https://www.youtube.com/watch?feature=player_embedded&v=trbriB_5qVA
Anche in quel caso la piattaforma vittima della vulnerabilità era intervenuta per sanare la falla e per ricompensare il bug hunter: il patrimonio di contenuti che gli utenti affidano alle piattaforme della Rete sono la linfa da cui traggono di che arricchirsi.
Gaia Bottà
Fonte: Punto Informatico (http://punto-informatico.it/4237944/PI/News/youtube-rischio-estinzione-scampato.aspx)
Un ricercatore di sicurezza trova una semplice soluzione per rimuovere dalla piattaforma qualsiasi video: Google ha provveduto a ricompensarlo e a correggere il bug, prima che qualcuno ne approfittasse
Roma - Avrebbe potuto cancellare da YouTube qualsiasi video caricato da chiunque, ma ha resistito alla tentazione di ridurre al silenzio frotte di teen star canterine per segnalare il problema a Google: il ricercatore di sicurezza russo Kamil Hismatullin aveva individuato (http://kamil.hism.ru/posts/about-vrg-and-delete-any-youtube-video-issue) un bug potenzialmente devastante per la piattaforma ed estremamente semplice da sfruttare.
https://www.youtube.com/watch?feature=player_embedded&v=NarxB7NG6e0
Sollecitato da Google nel contesto del programma (https://www.google.com/about/appsecurity/research-grants/) Vulnerability Research Grants a lavorare su una lista di prodotti e servizi, Hismatullin aveva scelto di concentrarsi su YouTube Creator Studio, a caccia di qualche ordinaria vulnerabilità di tipo Cross-site scripting o Cross-site request forgery. Dopo qualche ora di lavoro, si è trovato di fronte al bug: sperimentando con le richieste in POST, ha rilevato la possibilità di sfruttare il token di sessione estratto dal codice della pagina e di combinarlo con la stringa che identifica il singolo video, per determinarne la rimozione definitiva dalla piattaforma.
Per scongiurare episodi di vandalismo o estorsioni sotto la minaccia di cancellazione dei video, Hismatullin ha prontamente segnalato la falla a Google, e Goole ha prontamente provveduto (http://www.zdnet.com/article/youtube-fixes-bug-that-allowed-deleting-videos-remotely/) a sistemarla, omaggiando il ricercatore di 5mila dollari.Una simile vulnerabilità era stata rilevata nel mese di febbraio su Facebook: un ricercatore di sicurezza aveva trovato il modo di rimuovere senza ostacoli (http://www.7xter.com/2015/02/how-i-hacked-your-facebook-photos.html) intere collezioni di fotografie sul social network in blu.
https://www.youtube.com/watch?feature=player_embedded&v=trbriB_5qVA
Anche in quel caso la piattaforma vittima della vulnerabilità era intervenuta per sanare la falla e per ricompensare il bug hunter: il patrimonio di contenuti che gli utenti affidano alle piattaforme della Rete sono la linfa da cui traggono di che arricchirsi.
Gaia Bottà
Fonte: Punto Informatico (http://punto-informatico.it/4237944/PI/News/youtube-rischio-estinzione-scampato.aspx)