Google heeft meerdere Flash-lekken in YouTube gedicht waardoor een aanvaller in bepaalde gevallen het Google-account van gebruikers kon identificeren en in het ergste geval YouTube-, Google Drive- en Google Docs-accounts kon overnemen, zo laat de Franse onderzoeker Enguerran Gillier weten.
Gillier ontdekte eerder al kwetsbaarheden in Facebook, WordPress, Uber en Paypal. Hoewel Google de ondersteuning van de Flash-technologie aan het uitfaseren is, wordt er nog wel gebruik van gemaakt. De programmeerinterfaces voor Flash waar YouTube mee werkt bevatten verschillende kwetsbaarheden, aldus Gillier. In het geval een gebruiker op zijn Google-account was ingelogd en een kwaadaardige website zou bezoeken, kon die via een kwaadaardig Flash-bestand de Google-gebruikersnaam van de bezoeker achterhalen.
Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om YouTube-accounts over te nemen. Voorwaarde was wel dat de gebruiker op zijn account was ingelogd en een kwaadaardige website zou bezoeken. Vervolgens kon de aanvaller privégegevens en privévideo's van het account bekijken, reacties in naam van het slachtoffer plaatsen of alle video's van de gebruiker verwijderen. Een derde Flash-kwetsbaarheid die Gillier in de YouTube Flash-programmeerinterface aantrof maakte het mogelijk om YouTube-, Google Drive en Google Docs-accounts over te nemen.
Om de aanval te laten slagen moest het doelwit van de aanvaller wel op YouTube of Google Drive zijn ingelogd en over Flash Player beschikken. Vervolgens moest er een kwaadaardige website worden bezocht. De onderzoeker stelt een schadelijke aanval voor waarbij alle bestanden van het Google Drive-account van een gebruiker worden gestolen en verwijderd en er via het YouTube-account van het slachtoffer vervolgens allerlei reacties worden geplaatst die naar de kwaadaardige website wijzen om zo nieuwe slachtoffers te maken. Na te zijn ingelicht heeft Google de kwetsbaarheden verholpen en Gillier een beloning toegekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.