Багхантер из Венгрии Дэвид Шютц (David Schütz) нашел, что если проигрыватель YouTube встроен на веб-сайт с помощью YouTube Player API, то через него можно получить информацию о активности юзера на видеохостинге.
История просмотров, перечень «Поглядеть позднее», понравившиеся видео, загруженные ролики — всё это особенные плейлисты, которые YouTube создаёт автоматом. Они есть у всякого юзера. На самом YouTube они реализованы так, что полный доступ к содержимому есть лишь у хозяев. Но через API встроенного проигрывателя получить видео из этих плейлистов могли злоумышленники.
Получить историю просмотров и перечень «Поглядеть позднее» было весьма просто
API проигрывателя IFrame дозволяет встроить плеер YouTube на веб-сайт и управлять им с помощью JavaScript. Благодаря этому можно добавлять видео в очередь проигрывания, воспроизводить, ставить на паузу, останавливать и делать остальные деяния. Также можно добавлять функции прослушивания событий, которые вызываются в ответ на определённые деяния. Команды отправляются с помощью способа postMessage.
Принципиальный момент: если вы авторизованы на YouTube, то интегрированный на постороннем веб-сайте проигрыватель тоже авторизуется. Благодаря этому просмотренные видео добавляются в историю просмотров, вы также сможете отправлять их в перечень «Поглядеть позднее». Проще говоря, у встроенного проигрывателя таковой же доступ к вашей учётной записи, как у основного веб-сайта YouTube.
Infrastructure Security Team Lead
Exness, Лимассол, Кипр, По итогам собеседования
tproger.ru
Вакансии на tproger.ru
Дэвид Шютц направил внимание на функцию YouTube Player API, которая дозволяет получить видео из текущего плейлиста. Он сделал тестовую страничку, встроил на неё проигрыватель YouTube, добавил плейлист с историей просмотров и вызвал функцию player.getPlaylist(). В итоге в консоли отобразился перечень просмотренных видео со постороннего аккаунта. Так же просто было получить перечень видео из плейлиста «Поглядеть позднее».
Для кражи содержимого плейлиста с понравившимися видео, хоть какого личного плейлиста жертвы, также инфы о приватных видео использовались уже целенаправленные атаки. Для удачного результата необходимо знать идентификаторы плейлистов и отдельных личных видео. Это наиболее сложные задачки, но их тоже удалось решить. В итоге Дэвид получил перечень всех загруженных видео, в том числе тех, которые не показываются в общей выдаче.
Получить перечень понравившихся и загруженных видео было труднее, но тоже реально
На данный момент эти препядствия с доступом к чужой истории активности устранены. При попытке получить личные либо особые плейлисты ворачивается ошибка.
Источник: