Une faille sur YouTube permettait de copier les commentaires d'une vidéo à une autre

Un chercheur en sécurité basé en Égypte a déclaré que Google avait corrigé une vulnérabilité intéressante que lui et un collègue avaient trouvée sur YouTube..

Ahmed Aboul-Ela a écrit sur son blog que lui et un collègue chercheur, Ibrahim Mosaad, voulaient trouver un problème dans une fonctionnalité sur YouTube "que peu de chasseurs de bogues ont testé".

Ils se sont concentrés sur un paramètre de YouTube qui contient des commentaires pour examen avant leur publication. Si cette fonctionnalité est activée, les commentaires sont alors répertoriés dans un panneau de configuration intitulé «en attente de révision».

Aboul-Ela a écrit qu'il avait intercepté la demande http qui est envoyée à Google lorsqu'un commentaire est approuvé. La demande contient deux paramètres: "comment_id" et "video_id".

Une erreur est renvoyée si le video_id est changé pour un autre, écrit-il. Mais YouTube a accepté de changer le numéro content_id en une vidéo différente, ce qui a ensuite entraîné la copie du commentaire sur cette vidéo.

"Le commentaire d'origine de la vidéo d'origine n'est pas supprimé, et l'auteur du commentaire n'est pas informé que son commentaire est copié sur une autre vidéo", a écrit Aboul-Ela..

La faille aurait pu être utilisée de plusieurs façons. Il pourrait être utilisé pour faire apparaître qu'une vidéo est plus populaire qu'elle ne l'est réellement. Ou cela aurait pu être utilisé pour faire faussement apparaître une célébrité ou une personnalité publique qui a commenté quelque chose, a écrit Aboul-Ela.

Google a corrigé la vulnérabilité dans la semaine suivant sa notification le 25 mars et a payé une prime de bogue de 3 133,70 $ US.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.