image

Google dicht meerdere Flash-kwetsbaarheden in YouTube

maandag 4 september 2017, 09:54 door Redactie, 3 reacties

Google heeft meerdere Flash-lekken in YouTube gedicht waardoor een aanvaller in bepaalde gevallen het Google-account van gebruikers kon identificeren en in het ergste geval YouTube-, Google Drive- en Google Docs-accounts kon overnemen, zo laat de Franse onderzoeker Enguerran Gillier weten.

Gillier ontdekte eerder al kwetsbaarheden in Facebook, WordPress, Uber en Paypal. Hoewel Google de ondersteuning van de Flash-technologie aan het uitfaseren is, wordt er nog wel gebruik van gemaakt. De programmeerinterfaces voor Flash waar YouTube mee werkt bevatten verschillende kwetsbaarheden, aldus Gillier. In het geval een gebruiker op zijn Google-account was ingelogd en een kwaadaardige website zou bezoeken, kon die via een kwaadaardig Flash-bestand de Google-gebruikersnaam van de bezoeker achterhalen.

Een andere kwetsbaarheid maakte het mogelijk voor een aanvaller om YouTube-accounts over te nemen. Voorwaarde was wel dat de gebruiker op zijn account was ingelogd en een kwaadaardige website zou bezoeken. Vervolgens kon de aanvaller privégegevens en privévideo's van het account bekijken, reacties in naam van het slachtoffer plaatsen of alle video's van de gebruiker verwijderen. Een derde Flash-kwetsbaarheid die Gillier in de YouTube Flash-programmeerinterface aantrof maakte het mogelijk om YouTube-, Google Drive en Google Docs-accounts over te nemen.

Om de aanval te laten slagen moest het doelwit van de aanvaller wel op YouTube of Google Drive zijn ingelogd en over Flash Player beschikken. Vervolgens moest er een kwaadaardige website worden bezocht. De onderzoeker stelt een schadelijke aanval voor waarbij alle bestanden van het Google Drive-account van een gebruiker worden gestolen en verwijderd en er via het YouTube-account van het slachtoffer vervolgens allerlei reacties worden geplaatst die naar de kwaadaardige website wijzen om zo nieuwe slachtoffers te maken. Na te zijn ingelicht heeft Google de kwetsbaarheden verholpen en Gillier een beloning toegekend.

Reacties (3)
04-09-2017, 10:02 door Anoniem
Youtube gebruikt toch al tijden lang html5?
Ik zou als google gewoon flash ondersteuning helemaal afschaffen.
04-09-2017, 14:53 door Anoniem
Door Anoniem: Youtube gebruikt toch al tijden lang html5?
Ik zou als google gewoon flash ondersteuning helemaal afschaffen.

Niet alle browsers ondersteunen (YouTube) HTML5 met de vereiste videocodecs en niet alle besturingssystemen ondersteunen de browsers die dit wel doen.
04-09-2017, 19:02 door Eric-Jan H te D
Ik snap het even niet: Moet een browser/AV niet de bescherming bieden tegen falende programmeerinterfaces en kwaadwillende sites.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.