ثغرة خطيرة في يوتوب تسمح بنسخ تعليقات فيديو معين على فيديو تابع لك أو مقطع آخر!

ثم إكتشاف ثغرة بالغة الخطورة قد تعتبر نقطة ضعف حاسمة في موقع يوتوب إن لم يتم ترقيعها ، وتسمح هذه الثغرة لأحدهم من جعل تعليقات لمشاهيير أو على مقاطع فيديو ذات شعبية كبيرة من الظهور في مقطع الفيديو الخاص به ، و البتالي يمكن جلب عدد هائل من التعليقات لمقطع فيديو معين و الأخطر أن يتم إنتحال شخصيات معروفة أو مشاهير و الإيهام بأنها قامت بالتعليق في مقطع فيديو معين.

مكتشفي هذه الثغرة هم شخصان مصريين  Ibrahim M. El-Sayed و Ahmed Aboul-Ela ، هذان الباحثان في مجال الحماية المعلوماتية قاما باكتشاف كيفية نسخ تعليقات فيديو معين ونسخها على فيديو آخر حتى لو لم يكن فيه أي تفاعل ، وليس هذا فقط بل وتتيح إمكانية نسخ تعليقات صفحة المناقشة "Discussion" الخاصة بأي قناة على يوتوب و لصقها في صفحة مناقشة تابعة لقناة الهاكر أو قناة مؤسسسة أو شخص معين.

التساؤل الآن..كيف يمكن لهذا الأمر أن يحدث؟
قام الباحثان بملاحظة أنه و من المعروف أن مدير القناة يمكنه مراجعة التعليقات و إدارتها قبل أن يتم نشرها على يوتوب ، وذلك في صفحة إدارة التعليقات التالية : https://www.youtube.com/comments مع تواجد إختيارات مسح التعليقات أو الموافقة عليها أو الإعلام بأنها عبارة عن "سبام". وهذا كله واضح لحدود الآن..لكن!؟



عندما توافق على نشر تعليق معين..تتوجه لبروتوكول HTTP و ستجد معرفين هما : معرف التعليق comment_id و معرف الفيديو video_id ، و عندما تقوم بتغيير هذا الأخير وهو معرف الفيديو بمعرف أي فيديو آخر سوف تظهر لك صفحة الخطأ "error".

لكن! عندما تقوم بتغيير فقط معرف التعليقات comment_id بأي comment_id آخر لمقطع فيديو معين في يوتوب مع ترك الـ video_id و عدم لمسه ، سوف يتم قبول تسجيل الإعدادات من طرف يوتوب و ستظهر تعليقات الفيديو الذي تم نسخ comment_id الخاص به على فيديو الهاكر أو الشخص الذي قام بهذه العملية.

و بالرغم من ذلك فهذه العملية لن تقوم بحذف التعليقات من الفيديو الأصلي ، بل سيتم نسخها فقط على الفيديو الآخر ، ولن يتم إعلام صاحب الفيديو الاصلي باي إشعار أنه تم نسخ تعليقات من مقطع فيديو خاص به.

ليست هناك تعليقات:

إرسال تعليق