Ancaman Keamanan Bagi Pengguna Youtube Berawal Dari Fitur Sematkan

Posting : 24 Jan 2021



David Schutz, seorang peneliti keamanan mengungkap potensi akses tidak sah ke riwayat tontonan pengguna, favorit, dan daftar putar oleh pelaku ancaman.  Pelaku ancaman memanipulasi situs web dan menyematkan video YouTube untuk mengamankan akses ke riwayat penayangan dan daftar putar pengguna.

Aktor ancaman berhasil mendapatkan $ 1.337 melalui bug keamanan, Schutz menjelaskan bahwa ia menemukan kerentanan dengan menghubungkan dua hal - dengan cara yang “tidak terduga”.  Pengembang situs web memanfaatkan pemutar tersemat YouTube untuk menyematkan video ke situs mereka sendiri dan pemutar ini juga memiliki fitur yang dikenal sebagai API (Antarmuka Pemrograman Aplikasi).

API memungkinkan pengguna menyematkan fungsi yang biasa dijalankan di YouTube ke dalam situs web atau aplikasi pribadi mereka.  API juga memungkinkan pengguna untuk mengambil, menyisipkan, menghapus atau memperbarui banyak sumber daya ini.  Sumber daya merupakan jenis item yang merupakan bagian dari pengalaman YouTube yang mencakup memuat video atau daftar putar baru, berlangganan, memutar / menjeda pemutar.

Setiap pengguna di YouTube memiliki beberapa playlist pribadi, misalnya, playlist dengan ID 'HL' berisi histori penayangan pengguna dan ID dengan 'WL' berisi tampilan pengguna nanti, dan seterusnya.

David Schutz menjelaskan kerentanan melalui entri blog: “Karena pemutar tersemat YT juga masuk ke YT, situs web berbahaya dapat menyematkan pemutar, menginstruksikannya untuk memutar, misalnya, daftar putar 'HL' (yang akan mulai memutar  riwayat tontonan pengguna), dan dapatkan konten daftar putar menggunakan API yang dimiliki pemutar tersemat, dengan demikian mencuri riwayat tontonan pengguna yang membuka situs web ”.

“Penyerang juga mungkin telah menyiapkan halaman untuk korban tertentu, yang ketika dibuka oleh korban tersebut, akan mencuri video korban yang tidak terdaftar (yang jika tidak akan membutuhkan mengetahui ID untuk menonton).  Masalah utamanya adalah Anda dapat memuat daftar putar pribadi ke dalam pemain atas nama korban, dan kemudian mencuri konten dari daftar putar pribadi tersebut, ”lanjut postingan tersebut.