YouTube-fejl tilladt at kopiere kommentarer fra en video til en anden

En egyptsbaseret sikkerhedsforsker sagde, at Google har rettet en interessant sårbarhed, som han og en kollega fandt på YouTube.

Ahmed Aboul-Ela skrev på sin blog, at han og en medforsker, Ibrahim Mosaad, ønskede at finde et problem i en funktion på YouTube "som ikke mange bugjægere har testet."

De fokuserede på en indstilling på YouTube, der indeholder kommentarer til gennemgang, før de offentliggøres. Hvis denne funktion er aktiveret, vises kommentarer derefter i et kontrolpanel mærket "afholdt til gennemgang."

Aboul-Ela skrev, at han aflyttede http-anmodningen, der sendes til Google, når en kommentar godkendes. Anmodningen indeholder to parametre: “comment_id” og “video_id.”

En fejl returneres, hvis video_id ændres til en anden, skrev han. Men YouTube accepterede at ændre content_id-nummeret til en anden video, hvilket derefter fik kommentaren til at blive kopieret til den video.

"Den originale kommentar fra den originale video fjernes ikke, og forfatteren af ​​kommentaren får ikke besked om, at hans kommentar er kopieret til en anden video," skrev Aboul-Ela.

Fejlen kunne have været brugt på mange måder. Den kunne bruges til at få det til at se ud som om en video er mere populær end den faktisk er. Eller det kunne have været brugt til at fejlagtigt få det til at fremstå som en berømthed eller en offentlig person kommenteret noget, skrev Aboul-Ela.

Google rettede sårbarheden inden for en uge efter, at den blev underrettet den 25. marts, og betalte en fejlbelønning på USD 3.133,70.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.