Experto encuentra una vulnerabilidad en YouTube y Google lo niega

Escrito por Rubén Velasco
Seguridad
0

Normalmente, los expertos en seguridad suelen trabajar en buscar vulnerabilidades y fallos de seguridad en los principales servicios web que permitan a los usuarios utilizar el sistema lo más seguro posible. Incluso las plataformas del gigante de internet, Google, tienen sus vulnerabilidades, pero lo que no es tan habitual es ver cómo la compañía las niega cuando los investigadores las reportan.

Ese es el caso que ha ocurrido hace pocos días. Un experto en seguridad llamado Nicholas Lemonias ha identificado una vulnerabilidad en la carga de vídeos de YouTube. La vulnerabilidad elude los motores de control de los archivos que se pueden subir a la plataforma y los que no y permite subir cualquier tipo de archivo a YouTube (ya sea un vídeo como, por ejemplo, un archivo malicioso) y, según ha informado Google, esta vulnerabilidad no supone una brecha de seguridad para los usuarios.

Varias comunidades de seguridad informática afirman que, efectivamente, esto sí que supone un fallo de seguridad pero, sin embargo, Google se niega a aceptarlo y no proporcionará la correspondiente recompensa del Bug Bounty a este investigador por su descubrimiento.

youtube_vulnerabilidad_para_google_no_lo_es_foto

YouTube, por defecto, está diseñado para subir únicamente archivos de vídeo o, en todo caso, archivos de audio. Sin embargo, con esta vulnerabilidad se puede saltar el comprobador de archivos y subir cualquier formato como una imagen, un documento e incluso archivos ejecutables. Esto, desde nuestro punto de vista, supone un fallo de seguridad grave ya que los piratas informáticos podrían subir archivos de malware a la red social de vídeos para, posteriormente, distribuirlos a nivel mundial a través de la propia plataforma.

Por el momento habrá que esperar para saber cómo acaba este problema y si finalmente Google decide considerar esta vulnerabilidad como un fallo de seguridad.

¿Creéis que se trata de un fallo de seguridad o es simplemente un fallo sin importancia?

Fuente: Packet Storm Security