Der YouTube-Fehler ermöglichte das Kopieren von Kommentaren von einem Video in ein anderes

Ein in Ägypten ansässiger Sicherheitsforscher sagte, Google habe eine interessante Sicherheitslücke behoben, die er und ein Kollege in YouTube gefunden haben.

Ahmed Aboul-Ela schrieb in seinem Blog, dass er und ein Kollege, Ibrahim Mosaad, ein Problem in einem Feature auf YouTube finden wollten, "das nicht viele Bug-Jäger getestet haben".

Sie konzentrierten sich auf eine Einstellung in YouTube, die Kommentare zur Überprüfung enthält, bevor sie veröffentlicht werden. Wenn diese Funktion aktiviert ist, werden Kommentare in einem Kontrollfeld mit der Bezeichnung "Zur Überprüfung gehalten" aufgelistet.

Aboul-Ela schrieb, er habe die http-Anfrage abgefangen, die an Google gesendet wird, wenn ein Kommentar genehmigt wird. Die Anfrage enthält zwei Parameter: "comment_id" und "video_id".

Ein Fehler wird zurückgegeben, wenn die video_id in eine andere geändert wird, schrieb er. YouTube akzeptierte es jedoch, die content_id-Nummer in ein anderes Video zu ändern, wodurch der Kommentar in dieses Video kopiert wurde.

"Der Originalkommentar aus dem Originalvideo wird nicht entfernt, und der Autor des Kommentars wird nicht benachrichtigt, dass sein Kommentar auf ein anderes Video kopiert wurde", schrieb Aboul-Ela.

Der Fehler hätte auf viele Arten verwendet werden können. Es könnte verwendet werden, um den Eindruck zu erwecken, dass ein Video populärer ist als es tatsächlich ist. Oder es hätte verwendet werden können, um es fälschlicherweise als eine Berühmtheit oder eine Persönlichkeit des öffentlichen Lebens erscheinen zu lassen, die etwas kommentiert, schrieb Aboul-Ela.

Google hat die Sicherheitsanfälligkeit innerhalb einer Woche nach Benachrichtigung am 25. März behoben und eine Fehlerprämie in Höhe von 3.133,70 US-Dollar gezahlt.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.