Un investigador de seguridad con sede en Egipto dijo que Google ha solucionado una vulnerabilidad interesante que él y un colega encontraron en YouTube.
Ahmed Aboul-Ela escribió en su blog que él y un compañero investigador, Ibrahim Mosaad, querían encontrar un problema en una función en YouTube "que no han probado muchos cazadores de insectos".
Se centraron en una configuración en YouTube que contiene comentarios para su revisión antes de su publicación. Si esa función está habilitada, los comentarios se enumeran en un panel de control con la etiqueta "en espera de revisión".
Aboul-Ela escribió que interceptó la solicitud http que se envía a Google cuando se aprueba un comentario. La solicitud contiene dos parámetros: "comment_id" y "video_id".
Se devuelve un error si el video_id se cambia a uno diferente, escribió. Pero YouTube aceptó cambiar el número de content_id a un video diferente, lo que provocó que el comentario se copiara en ese video.
"El comentario original del video original no se elimina, y el autor del comentario no recibe notificación de que su comentario se copia en otro video", escribió Aboul-Ela.
La falla podría haber sido utilizada de muchas maneras. Podría usarse para hacer que parezca que un video es más popular de lo que realmente es. O podría haber sido utilizado para hacer que parezca una celebridad o una figura pública comentada sobre algo, escribió Aboul-Ela..
Google corrigió la vulnerabilidad dentro de una semana de haber sido notificado el 25 de marzo y pagó una recompensa por errores de US $ 3,133.70.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
