Posts Tagged ‘youtube’

XSS su youtube già pecciato. Allarmismo immotivato in Italia

Allarmismo immotivato! E’ l’unica parola che mi viene in mente in questo momento!
Oggi è uscio su LaStampa e Repubblica un articolo che allarmava gli utenti inquanto Youtube era stato “hackerato“/”bucato“.
Dagli screen che propongono si vede chiaramente che si tratta di un XSS:

Tutti sappiamo che grazie ad un XSS è possibile prendere i cookie di un utente, ma sappiamo altrettanto bene che youtube gestisci i cookie in maniera ottimale: niente password in chiaro e solo sessionID!
La cosa piu’ preoccupante e di cui nessuno ha parlato è invece il problema della diffusione dei malware tramite XSS. Se fosse stato meglio strutturato sarebbe stato possibile mandare messaggi privati ai propri contatti youtube ed innescare così un worm

Il bug (prontamente corretto) si basava sull’inserimento di codice all’interno dei commenti. Evidentemente i controlli di youtube non erano sufficienti.
Preso di mira soprattutto il canale del cantante Justin Bieber. Gli autori dell’XSS si sono voluti divertire scrivendo che il cantante era deceduto.
Fonti ancora da verificare ci dicono che gli autori dell’attacco sono stati 4chan o ebaumsworld.

People who looked at this item also looked at…

Related items

Come ti frego il filtro su YouTube

YouTube ha deciso di usare la mannaia con i contenuti musicali infilati sui suoi server senza l’autorizzazione degli aventi diritto. Ma quella stessa mannaia che silenzia le canzoni famosesi presta a qualche controindicazione che un intraprendente uploader del portale ha scovato dopo aver condotto un po’ di esperimenti, modificando di volta in volta le caratteristiche della stessa canzone per verificare il risultato finale del filtering di GoogleTube.
[ad]
L’utente suddetto è tale retnirpregnif, e la canzone scelta per l’impresa è “I Know What Boys Like” dei The Waitresses, modificata e riversata sui server di Google in 82 versioni differenti nel tempo di ascolto, nel tono, nel livello di amplificazione e di rumore e altro ancora. L’analisi di retnirpregnif ha permesso di evidenziale la notevole sofisticazione ed efficienza del sistema di identificazione dei contenuti di YouTube, ma anche la sua vulnerabilità a qualche trucco in fondo banale e alla portata di chiunque.
Delle 82 clip immesse online, il filtro del portale (basato sul software sviluppato daAudible Magic) ne ha individuate 35: nonostante questo l’account non è stato chiuso. Il filtro di identificazione “è dappertutto”, dice retnirpregnif, scansiona ogni singolo video di cui viene fatto l’upload o che si trovi già online prima della sua installazione: non importa il titolo o la descrizione e bastano in genere pochi minuti perché il sistema scatti inesorabile e scandagli l’audio delle clip.
Content ID di YouTube è poi “flessibile”: nei test di amplificazione il brano è stato individuato anche con un livello di rumore del 45% (comunque non oltre). Inascoltabile per l’utente ma non per il filtro che riesce persino a “resistere” a un cambiamento di tono e tempo sino al 5% rispetto ai valori originali. Si tratta insomma di un sistema molto sofisticato, che tra i pochi punti deboli ha il fatto di risultare inefficace nel caso in cui i primi 30 secondi della clip siano puro silenzio: a quel punto il resto del brano non viene analizzato e il filtro darebbe per scontato che non ci sia niente di significativo da segnalare o taggare come non autorizzato. “Non so se tutti i sample nel database di contenuti sono affetti da simili debolezze – dice retnirpregnif – ma sicuramente si tratta di qualcosa che merita un ulteriore approfondimento”.

di  Alfonso Maruccia tratto da PuntoInformatico

People who looked at this item also looked at…

Related items

Return top