ロシア人研究者、どんなYoutubeビデオでも30秒で削除できる方法(脆弱性)を発見
Posted 14 hours ago, by Daniel Rose
Youtubeのビデオは簡単な操作を行うことで、どんなビデオでも30秒で削除することができる脆弱性があることがロシア人セキュリティー研究者が公開した資料により明らかとなった。
Youtubeのこの脆弱性を発見したのはKamil Hismatullinという人物で、彼は、YouTube Creator Studioを対象に脆弱性に係る調査を進めることで、YouTubeの場合、特定のコマンドをポストすることで、認証を経ることなしにどんなビデオでも削除することが判ったとしている。
彼が見つけた方法とは、
POST https://www. youtube.com/live_events_edit_status_ajax?action_delete_live_event=1
event_id: ANY_VIDEO_ID
session_token: YOUR_TOKEN
というコマンドをポストするというもので、このコマンドの戻り値として
{
"success": 1
}
が返ってくれば、ビデオの削除要求は受け入れられたとしている。
その上で彼は実際に、有名ポップアイドル「Justin Bieber」のビデオクリップを削除することで、この脆弱性を突いた攻撃手法が正しく機能することを証明して見せた。
ただし、彼は、この脆弱性については既にGoogleのセキュリティーチームに連絡済みとも述べている
Youtube上では、これまでも大手の放送局が投稿したビデオがいつの間にか削除されるといった事が起きていたが、今回のロシア人研究者の指摘により、これらの事象は、Youtubeの脆弱性を突いた何者かの攻撃だった可能性が浮上してきたこととなる。
http://www.businessnewsline.com/news/201504040216420000.html