Youtube sotto attacco nel weekend: un XSS in cambio di un banner?

lug 5th, 2010

Un 4 luglio che non è passato inosservato.

Almeno in casa Google e, a quanto pare, anche a Cupertino.

Tra sabato e domenica Youtube ha subito un attacco che ha avuto come target i video del cantante pop Justin Bieber (e successivamente di Lady Gaga).

L’attacco dimostrativo, che sfrutta una vulnerabilità nel sistema di parsing dei commenti, mostrava un popup dove si leggeva la notizia della morte del cantante.

Youtube hacked (clicca per ingrandire)

rivendicazioni? (clicca per ingrandire)

Google, dopo un blocco cautelativo dei commenti, ha rilasciato una fix sui suoi sistemi che risolveva la vulnerabilità (XSS) sfruttata dagli hacker.

Post Google fix (clicca per ingrandire)

Sembra infatti che il parsing del contenuto dei commenti fosse effettuato in modo da gestire solo una prima occorrenza del tag script mentre, quanto in esso contenuto, era accettato senza alcun tipo di controllo ulteriore (sufficiente pertanto a consentire commenti con javascript al suo interno, ad esempio).

C’è chi ipotizza un gesto dimostrativo come reazione alla recente scelta di youtube di inserire pubblicità (Skippable ADS) nei filmati a partire da dicembre prossimo (fonte Baljeet Singh, YouTube Senior product manager in una conferenza stampa di giovedì scorso).

Coincidenza? Pretesto? Esibizionismo?