En diciembre de 2019, un hacker llamado David Schütz logró hackear el programa de Google VRP, un programa para desarrolladores que busca fallos en el sistema de Google. Mientras navegaba por YouTube, David buscaba una manera de acceder a un video privado que no poseía. Y aquí te contamos cómo lo logró.
Aprovechando Google Ads para hackear el sistema
Cuando se sube un video a YouTube, se puede elegir entre 3 configuraciones de privacidad. David decidió explorar el sistema de Google subiendo un video a su segunda cuenta de pruebas en YouTube y estableciendo la privacidad en esa cuenta. Luego, utilizando su primera cuenta, comenzó a explorar YouTube y a probar todas las funciones disponibles. Intentó presionar todos los botones que encontraba y cada vez que veía una solicitud HTTP con un ID de video, lo cambiaba al ID del video objetivo en busca de filtrar cierta información relevante, pero no tuvo éxito en sus intentos.
Finalmente, encontró una vulnerabilidad a través de Google Ads. Google Ads es la plataforma que utilizan los anunciantes para crear anuncios en todos los servicios de Google, incluido YouTube. David creó una cuenta en Google Ads y creó un nuevo anuncio que reproduciría uno de sus propios videos como anuncio saltado para los usuarios de YouTube. Después de crear el anuncio, comenzó a explorar todas las diferentes funciones que ofrecía Google Ads.
Finalmente, después de muchas pruebas, encontró un fragmento de código vulnerable que le permitía acceder al video privado objetivo. Sin embargo, se enfrentó a un problema: no podía obtener el sonido del video. A través de este error, cualquier video privado de YouTube podría haber sido descargado por un atacante malicioso, lo cual es bastante impactante. Sin embargo, David también encontró algunas limitaciones que no pudo superar:
- En el mundo real, sería necesario conocer el ID del video objetivo.
- Dado que solo se trataba de imágenes, no se podía acceder al audio.
- La resolución del video era muy baja.
Google recompensó a David por encontrar y reportar la vulnerabilidad
Como parte del descubrimiento, el desarrollador recibió una recompensa de $5000 a través del Programa de Recompensa por Vulnerabilidad de Google (Google VRP).
