0
0
Até o início do ano passado, o YouTube do Google tinha uma falha de segurança que tornava os vídeos privados visíveis em resolução reduzida, embora não audível, para quem conhecesse ou adivinhasse o identificador de vídeo e possuísse o conhecimento técnico para tirar proveito do snafu.
O bug foi corrigido em janeiro de 2020, após ser identificado em dezembro de 2019, por David Schütz, estudante de ciência da computação na Universidade de Szeged, na Hungria, e reportado ao Google através do Programa de Recompensas de Vulnerabilidade (VRP) da empresa.
Na segunda-feira, Schütz publicou seu relato de como encontrou o bug, que residia em um sistema chamado Moments que tinha como objetivo permitir que os anunciantes marcassem um quadro específico no vídeo, como o aparecimento de uma imagem relevante da marca.
Schütz descobriu que o ato de marcar um momento em um vídeo gerou um pedido post para o ponto final e devolveu uma imagem em miniatura codificada com base64 do vídeo. E descobriu-se que se você fizesse tal solicitação de rede usando o identificador de um vídeo privado, a ferramenta de anúncio ainda buscaria uma imagem em miniatura.
Nesse ponto, Schütz argumentou que ele poderia ser capaz de usar a Referência de Objeto Direto Inseguro, ou IDOR, que ele havia identificado para solicitar uma série de quadros individuais e combiná-los em uma sequência que aproxima o vídeo original.
“Eu queria fazer uma prova do conceito de script Python que gera um ‘vídeo’ real e comovente”, explicou ele em sua gravação. “Procurei alguns cálculos, e descobri que se o vídeo está em 24 FPS, um quadro fica na tela por 33 milissegundos. Então eu só tenho que baixar todas as imagens a partir de 0 milissegundos, incrementando em 33 milissegundos todas as vezes, e então construir algum tipo de vídeo usando todas as imagens que eu adquiri.”
Deu certo. Schütz foi capaz de baixar miniaturas para uma sequência de quadros que poderiam ser remontados e reproduzidos. E ele fez um vídeo desse processo que você pode ver abaixo:
Schütz reconhece que a técnica tem limitações – as imagens em miniatura produzem uma reconstrução de baixa resolução, não há faixa de áudio capturada, e você tem que fornecer o identificador do vídeo privado para ser buscado – algo não facilmente adivinhado.
Mas ele observa que a falha ressalta o valor de olhar como os sistemas adjacentes interagem. Neste caso, os desenvolvedores do YouTube ignoraram as implicações de segurança e privacidade do recurso Momentos.
Por seus esforços, Schütz recebeu uma recompensa de US$ 5.000 por bugs em janeiro de 2020, de acordo com o VRP do Google. Esse, aliás, foi o valor que a empresa pagou em 2015 ao pesquisador de segurança Kamil Hismatullin depois que ele relatou um bug que possibilitou que qualquer pessoa excluísse os vídeos de qualquer outra pessoa.
FONTE: THE REGISTER