الجمعة، 17 أبريل 2015

باحثان أمنيان مصريان يكتشفان #ثغرة في #يوتيوب


youtube
إذا سألتني عن المكان الأكثر ازدحامًا بالآراء المختلفة والمتطرفة في أحيان كثيرة، سيكون ردي عليك موجهًا لقسم التعليقات في مقاطع الفيديو على اليوتيوب. لا تسألني كيف .. وصدّقني هذا يحدث أغلب الوقت.
الغرض من هذه المقدمة أن تُدرك أهمية قسم التعليقات في اليوتيوب وكيف أنّ التلاعب فيه قد يؤدي إلى نتائج كارثية. كان ممكن أن يحدث هذا التلاعب إن اكتشف الثغرة موضوع الخبر أي هاكر سيء، لكن لحسن الحظ اكتشفها باحثين أمنيين من مصر هما أحمد أبو العلا، وإبراهيم السيد.
كما هو موضّح بالفيديو بالأسفل فإنّ الثغرة تسمح للمستفيد بالتحكّم في تعليقات اليوتيوب سواء بتحريكها، أو نسخها، أو انتحال شخصية المُعلق بدون علمه. مثلًا يمكنك الاستفادة من الثغرة في انتحال شخصية أحد الشخصيات الشهيرة على اليوتيوب والتعليق بحسابها على مقطع الفيديو الخاص بك بعبارة شاهدوا هذا الفيديو الرائع.
تم اكتشاف الثغرة في ميزة التبليغ عن التعليقات حيث تقوم بتسريب بعض البيانات الهامة مثل video_id و comment_id وبالتلاعب في هذه المعطيات يمكن نقل أي تعليق من أي مكان على يوتيوب إلى أي فيديو آخر.
وبعد اكتشاف الثغرة من الباحثين قاما بإبلاغ قوقل على الفور التي منحتهما جائزة ٣,١٣٣.٧ دولار عن جهودهما في اكتشاف الثغرة الخطيرة.

ليست هناك تعليقات:

إرسال تعليق