Un fallo de seguridad permitía ver cualquier vídeo privado de YouTube
Un hacker reportó esta vulnerabilidad y fue recompensado por Google
En diciembre de 2019, un hacker llamado David Schütz unos meses después de empezar a hackear en el programa de Google VRP, un programa para desarrolladores que buscan fallos en el sistema de Google, se encontraba mirando YouTube. David, quería encontrar una manera de obtener acceso a un video que no poseía, que estaba en privado, te contamos cómo lo consiguió.
A través de Google Ads consiguió hackear el sistema
Cuando subes un vídeo a YouTube, puedes seleccionar entre 3 configuraciones de privacidad. Para buscar la forma de encontrar una vulnerabilidad en el sistema de Google, lo primero que hizo fue subir un video al canal de YouTube de su segunda cuenta de pruebas, y establecer la privacidad de la cuenta. Con su primera cuenta, comenzó a usar YouTube, probando todas las funciones, presionando todos los botones que pudo encontrar, y cada vez que veía una solicitud HTTP con un ID de video en ella, lo cambiaba al video objetivo, esperando que pudiera filtrar cierta información al respecto, pero realmente no estaba teniendo ningún éxito.
Finalmente encontró un agujero de seguridad a través de Google Ads. Este es el portal donde que los anunciantes utilizan para crear anuncios en todos los servicios de Google, incluido YouTube. Por lo tanto, los anuncios que recibes antes de que los anunciantes configuren los vídeos de YouTube aquí, en la plataforma de Google Ads. Así que creo una cuenta de Google Ads y creo un nuevo anuncio, que reproduciría un vídeo suyo como un anuncio saltable para los usuarios de YouTube. Después de crear el anuncio, comenzó a ver todas las diferentes funciones de Google Ads.
Finalmente, tras largas comprobaciones encontró un trozo de código vulnerable con el que poder acceder al video privado objetivo al que quería atacar, aunque se encontró con un problema, que no podía obtener sonido de el. Usando este error, cualquier video privado de YouTube podría haber sido descargado por un atacante malicioso, que para mí se siente como un impacto bastante fresco. Pero, por supuesto, tenía algunas limitaciones que no pude superar:
- En el mundo real tendrías que conocer el ID del vídeo objetivo
- Dado que se trata solo de imágenes, no se puede acceder al audio.
- La resolución es muy baja.
Google le recompensó por encontrar y reportar la vulnerabilidad
Como parte del descubrimiento, el desarrollador obtuvo a través del programa Google Vulnerability Reward Program (VRP), en español Programa de Recompensa por Vulnerabilidad de Google una recompensa de $5000.
