Google ha solucionado una vulnerabilidad que permitía copiar, mover o duplicar los comentarios de un vídeo de YouTube a otro. Dos investigadores de seguridad egipcios lo descubrieron y reportaron a Google para solucionarlo.
Este investigador descubrió este fallo cuando estaba probando
las diferentes opciones que YouTube permite hacer con los comentarios y
encontró esta “característica” que no debería estar, se podía copiar y mover
comentarios de un vídeo a otro fácilmente, cuando en teoría no debería
permitirse.
Estos dos investigadores se centraron en la característica que
permite a los usuarios aprobar los comentarios antes de que aparezcan
públicamente en los vídeos de YouTube. Cuando un vídeo se configura de esta
forma, los comentarios aparecen en el panel de control en “Pendientes para
revisión”.
Al comentar en un vídeo de YouTube, el comentario incorpora un
ID junto al ID del vídeo, si cualquiera cambia el parámetro de ID del vídeo por
otro ID, nos devolverá un error. Sin embargo, no nos saldrá un error si lo que
intentamos es modificar el ID del propio comentario y lo cambiamos por otro ID,
por tanto este mensaje aparecerá en nuestro vídeo por lo que podríamos copiar o
mover comentarios de otros vídeos a nuestro propio vídeo.
El autor del comentario no recibe ninguna notificación de que
su comentario ha sido copiado en otro vídeo que no es el original donde él
comentó. De esta forma cualquier usuario podría copiar comentarios buenos, o de
algún “YouTuber” famoso, en su propio vídeo para conseguir más repercusión.
Debido a este fallo de seguridad, Google le ha recompensado
con 3.133,7 dólares que es el pago máximo por este tipo de vulnerabilidades.
Fuente: EHacking News