安全研究人员赚了6,000美元的Bug Bounty,可以在开箱即用的情况下进行思考
安全研究人员赚了6,000美元错误赏金在发现了一套网络安全缺陷之后,允许攻击者播放据称为私beplay体育能用吗人YouTube视频。
DavidSchütz(@xdavidhu)向YouTube的母公司报告了隐私弱点谷歌,在去年7月验证该问题后,该公司迅速采取行动以掩盖安全控制。
这为Schütz提供了详细的道路技术文章关于与隐私有关的问题,他于4月5日(4月5日)发表。
遥控
Schütz在几年前在他的Android手机上注意到YouTube应用程序后,就开始探索这个问题智能电视。
当时,研究人员没有登录电视 - 这一因素后来鼓励Schütz探索该技术在加入Google的脆弱性奖励计划后如何运作。
YouTube for Android电视应用程序经过兴趣,本质上是一个网站,而不是一个复杂的网站beplay体育能用吗安卓应用。Schütz发现,该技术将内容加载在类似网络视图的浏览器中,称为Cobalt。beplay体育能用吗
更改后用户代理标头Schütz在其基于PC的浏览器上,能够在YouTube电视应用程序中获得并开始测试。
当时,用户能够通过桌面YouTube网站控制电视,即使他们在其他网络上也是如此。根据Schütz的说法,此功能随后已从用户界面中删除。
将模拟的智能电视与另一个在PC上运行的浏览器配对后,Schütz发现他可以选择在电视上播放私人YouTube视频。
这种设置使Schütz可以检查移动设备和智能电视之间的配对过程,从而使研究人员可以在此过程中发现一些有趣的行为。
去民意调查
启动配对过程后,电视将切换为“投票”模式,这在Google上是很普遍的事情。
代替beplay体育能用吗Websocket,Google通常使用这些绑定请求,这些请求基本上是HTTP请求,如果没有新事件,则需要很长时间,但是如果有些事件,请立即返回。电视叫这个/绑定一遍又一遍地端点。
研究该过程如何工作使研究人员可以弄清楚Google正在使用额外的视频特定令牌,称为“CTT’,为了允许用户播放私人YouTube视频:
当用户要求播放私人视频时,电视收到的活动从/绑定端点包括额外CTT旁边的参数vaceoid。
播放视频时,电视然后请求原始视频URL/get_video_info端点,包括CTT代币作为命名的GET参数VTT(由于某些原因)。
没有CTT令牌,电视无法观看私人视频。
这CTT据说令牌只允许观看该特定视频,而不是任何其他私人视频。
在使用Burp Suite检查过程之后,Schütz发现了该“遥控”技术中的网络安全缺陷,涉及beplay体育能用吗邮政请求a/绑定端点。
“由于缺失CSRF[[跨透 - 请求伪造]在YouTube休息室API(用于控制YouTube电视的遥控API)中,恶意网站可以以访问该网站的受害者的名义控制/发送命令到YouTube电视。”Schütz告诉beplay体育能用吗每日swbeplay2018官网ig。
盒子外
剩下的未解决,缺陷是攻击者在YouTube上观看和/或视频的一种手段社会工程学诡计。
Schütz解释说:“攻击者本可以设置邪恶的电视,并使用恶意网站,指示受害者的浏览器播放受害者的所有beplay体育能用吗YouTube攻击者的邪恶电视上的视频,从而窃取了受害者的所有私人和未列出的视频。”
为了修复缺陷,Google进行了更改,以便/绑定端点现在需要一个带有一个Oauth根据Schütz的说法,承载令牌要经过身份验证。
不要忘记阅读Google Awards研究人员$ 133,337云安全竞赛的最高奖项
在解决瑕疵之前,攻击者可能会偷走所有私人的以及来自受害者的未列出视频(甚至是私人播放列表的内容,例如“手表后来”列表),只需诱使他们开设一个恶意网站即可。beplay体育能用吗
根据舒茨的说法,攻击者所需要做的所有事情都是欺骗受害者在签署YouTube时单击链接。
每日swbeplay2018官网ig邀请Google评论Schütz的研究。尚无一句话,但是当更多信息出现时,我们会更新此故事。
