YouTube-bristen tillät kopiering av kommentarer från en video till en annan

En egyptisk säkerhetsforskare sa att Google har fixat en intressant sårbarhet som han och en kollega hittade på YouTube.

Ahmed Aboul-Ela skrev på sin blogg att han och en medforskare, Ibrahim Mosaad, ville hitta ett problem i en funktion på YouTube "som inte många bugjägare har testat."

De fokuserade på en inställning på YouTube som innehåller kommentarer för granskning innan de publiceras. Om den här funktionen är aktiverad listas kommentarer sedan i en kontrollpanel med namnet “hålls för granskning.”

Aboul-Ela skrev att han avlyssnade http-begäran som skickas till Google när en kommentar godkänns. Begäran innehåller två parametrar: "comment_id" och "video_id."

Ett fel returneras om video_id ändras till en annan, skrev han. Men YouTube accepterade att ändra content_id-numret till en annan video, vilket sedan fick kommentaren att kopieras till den videon.

"Den ursprungliga kommentaren från den ursprungliga videon tas inte bort, och författaren till kommentaren får inte meddelande om att hans kommentar kopieras till en annan video," skrev Aboul-Ela.

Felet kunde ha använts på många sätt. Det kan användas för att det verkar som om en video är mer populär än den faktiskt är. Eller så kunde det ha använts för att felaktigt få det att se ut som en kändis eller att en offentlig person kommenterade något, skrev Aboul-Ela.

Google fixade sårbarheten inom en vecka efter det att den blev meddelad den 25 mars och betalade en bounty-avgift på 3,133,70 US $.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.