ثم إكتشاف ثغرة بالغة الخطورة قد تعتبر نقطة ضعف حاسمة في موقع يوتوب إن لم يتم ترقيعها ، وتسمح هذه الثغرة لأحدهم من جعل تعليقات لمشاهيير أو على مقاطع فيديو ذات شعبية كبيرة من الظهور في مقطع الفيديو الخاص به ، و البتالي يمكن جلب عدد هائل من التعليقات لمقطع فيديو معين و الأخطر أن يتم إنتحال شخصيات معروفة أو مشاهير و الإيهام بأنها قامت بالتعليق في مقطع فيديو معين.
مكتشفي هذه الثغرة هم شخصان مصريين Ibrahim M. El-Sayed و Ahmed Aboul-Ela ، هذان الباحثان في مجال الحماية المعلوماتية قاما باكتشاف كيفية نسخ تعليقات فيديو معين ونسخها على فيديو آخر حتى لو لم يكن فيه أي تفاعل ، وليس هذا فقط بل وتتيح إمكانية نسخ تعليقات صفحة المناقشة "Discussion" الخاصة بأي قناة على يوتوب و لصقها في صفحة مناقشة تابعة لقناة الهاكر أو قناة مؤسسسة أو شخص معين.
التساؤل الآن..كيف يمكن لهذا الأمر أن يحدث؟
قام الباحثان بملاحظة أنه و من المعروف أن مدير القناة يمكنه مراجعة التعليقات و إدارتها قبل أن يتم نشرها على يوتوب ، وذلك في صفحة إدارة التعليقات التالية : https://www.youtube.com/comments مع تواجد إختيارات مسح التعليقات أو الموافقة عليها أو الإعلام بأنها عبارة عن "سبام". وهذا كله واضح لحدود الآن..لكن!؟
عندما توافق على نشر تعليق معين..تتوجه لبروتوكول HTTP و ستجد معرفين هما : معرف التعليق comment_id و معرف الفيديو video_id ، و عندما تقوم بتغيير هذا الأخير وهو معرف الفيديو بمعرف أي فيديو آخر سوف تظهر لك صفحة الخطأ "error".
لكن! عندما تقوم بتغيير فقط معرف التعليقات comment_id بأي comment_id آخر لمقطع فيديو معين في يوتوب مع ترك الـ video_id و عدم لمسه ، سوف يتم قبول تسجيل الإعدادات من طرف يوتوب و ستظهر تعليقات الفيديو الذي تم نسخ comment_id الخاص به على فيديو الهاكر أو الشخص الذي قام بهذه العملية.
و بالرغم من ذلك فهذه العملية لن تقوم بحذف التعليقات من الفيديو الأصلي ، بل سيتم نسخها فقط على الفيديو الآخر ، ولن يتم إعلام صاحب الفيديو الاصلي باي إشعار أنه تم نسخ تعليقات من مقطع فيديو خاص به.
التساؤل الآن..كيف يمكن لهذا الأمر أن يحدث؟
قام الباحثان بملاحظة أنه و من المعروف أن مدير القناة يمكنه مراجعة التعليقات و إدارتها قبل أن يتم نشرها على يوتوب ، وذلك في صفحة إدارة التعليقات التالية : https://www.youtube.com/comments مع تواجد إختيارات مسح التعليقات أو الموافقة عليها أو الإعلام بأنها عبارة عن "سبام". وهذا كله واضح لحدود الآن..لكن!؟
عندما توافق على نشر تعليق معين..تتوجه لبروتوكول HTTP و ستجد معرفين هما : معرف التعليق comment_id و معرف الفيديو video_id ، و عندما تقوم بتغيير هذا الأخير وهو معرف الفيديو بمعرف أي فيديو آخر سوف تظهر لك صفحة الخطأ "error".
لكن! عندما تقوم بتغيير فقط معرف التعليقات comment_id بأي comment_id آخر لمقطع فيديو معين في يوتوب مع ترك الـ video_id و عدم لمسه ، سوف يتم قبول تسجيل الإعدادات من طرف يوتوب و ستظهر تعليقات الفيديو الذي تم نسخ comment_id الخاص به على فيديو الهاكر أو الشخص الذي قام بهذه العملية.
و بالرغم من ذلك فهذه العملية لن تقوم بحذف التعليقات من الفيديو الأصلي ، بل سيتم نسخها فقط على الفيديو الآخر ، ولن يتم إعلام صاحب الفيديو الاصلي باي إشعار أنه تم نسخ تعليقات من مقطع فيديو خاص به.
No comments:
Post a Comment