YouTube alle prese con bug e malware

Un hacker parla di decine di vulnerabilitÓ nel portalone di video sharing, alcune definite rischiose. Ma la sicurezza di YouTube Ŕ giÓ messa alla prova da due trojan spacciati per video

Roma - Gli esperti di sicurezza sostengono ormai da tempo che, in termini di sicurezza, certi servizi e applicazioni Web 2.0 sono un vero colabrodo. Non sembra fare eccezione nemmeno il celeberrimo YouTube, recente protagonista di due storie di malware e, secondo il ricercatore di sicurezza Christian Matthies, zeppo di vulnerabilità.

The Register riporta come Matthies abbia tentato di stabilire un contatto con lo staff di Google per mesi, ricevendo però una risposta alle proprie email solo la scorsa settimana, in seguito alla minaccia di rendere di pubblico dominio le falle da lui scovate in YouTube.

L'hacker sostiene che il servizio di Google, tra i più trafficati al mondo, contiene oltre una quarantina di debolezze, alcune delle quali potrebbero essere sfruttate per infettare il profilo di un utente con un worm capace, tra le altre cose, di rubare i dati di log-in.
Nelle ultime settimane sia Google che Yahoo! hanno dovuto correggere in tutta fretta diversi bug di tipo cross-site scripting (XSS) potenzialmente in grado di mettere a rischio la sicurezza di milioni di utenti. La società Secure Computing ha spiegato che alcuni di questi bug sono stati recentemente sfruttati dai cracker per celare un trojan all'interno di falsi video. Sebbene i due post siano stati rapidamente cancellati dagli amministratori di Google, Secure Computing sostiene che i due incidenti rappresentano un campanello di allarme da non sottovalutare.

"Social network come YouTube attraggono ogni giorno decine di milioni di persone, in larga parte giovanissimi", ha detto Paul Henry, vice president of technologies di Secure Computing. "È facile comprendere perché l'attenzione di cracker e creatori di malware si stia rivolgendo sempre più frequentemente a questi servizi. I malware scoperti su YouTube potrebbero rappresentare una nuova tipologia di attacco".

Henry ha spiegato che quando gli utenti tentavano di guardare i falsi video venivano bombardati da pop-up pubblicitari ed eventualmente infettati dal cavallo di Troia Zlob: una volta nel PC, quest'ultimo è in grado di scaricare altri malware e di trasformare il sistema di una macchina zombi.
8 Commenti alla Notizia YouTube alle prese con bug e malware
Ordina
  • E' davvero triste che Google non si sia dimostrata interessata fin da subito a tappare queste falle.

    Del resto anche Nokia ha fatto lo gnorri (e se non sbalglio continua a farlo) quando qualche tempo fa un tizio ha scoperto che si potevano riesumare i sms ritenuti cancellati...
  • - Scritto da: Pejone
    > E' davvero triste che Google non si sia
    > dimostrata interessata fin da subito a tappare
    > queste falle.
    >
    > Del resto anche Nokia ha fatto lo gnorri (e se
    > non sbalglio continua a farlo) quando qualche
    > tempo fa un tizio ha scoperto che si potevano
    > riesumare i sms ritenuti cancellati...

    Ma essendo i cellulari ormai diventati dei mini-PC non credo sia una fatica immane implementare programmmi tipo "wipe" / "srm" che realizzino i famosi 38 passi di Schneier, sufficienti anche per i più "paranoici" ai quali non basta un semplice overwrite.
    ldsboy
    2515
  • E i cracker ringraziano la Microsoft, il magnifico Windows e quegli splendidi ActiveX. A bocca storta
    non+autenticato
  • - Scritto da: Roberto
    > E i cracker ringraziano la Microsoft, il
    > magnifico Windows e quegli splendidi ActiveX.
    >A bocca storta

    ma cosa c'entrano gli activex? Oltretutto il tuo tubo gira su server google, quindi probabilmente unix/linux.

    se un video "linkato" tramite XXS contiene eseguibili dannosi per via di bug sul plugin flash, la cosa potrebbe riguardare anche linux, se solo il malintenzionato avesse pensato di infettare anche i pinguini, ma è evidente che lo 0.4% degli utenti non fa mercato nemmeno fra gli addestratori di zombie

    ora torna pure a giocare con gnome va...
    non+autenticato
  • -
    > ma cosa c'entrano gli activex?
    Niente, infatti ha detto una cazzata.

    >Oltretutto il tuo
    > tubo gira su server google, quindi probabilmente
    > unix/linux.

    E quindi? Si tratta di malware per colpire i client non server,e se queste cose girano è anche grazie alle vulnerabilità di Windows.

    >
    > se un video "linkato" tramite XXS contiene
    > eseguibili dannosi per via di bug sul plugin
    > flash, la cosa potrebbe riguardare anche linux,
    > se solo il malintenzionato avesse pensato di
    > infettare anche i pinguini,

    Qui hai ragione.

    > ma è evidente che lo
    > 0.4% degli utenti non fa mercato nemmeno fra gli
    > addestratori di
    > zombie

    Sempre che quella cifra sia vera, cosa di cui dubito. Sono certo invece che tu sia un troll.

    >
    > ora torna pure a giocare con gnome va...

    Dopo questa è confermato: sei un troll.
    non+autenticato
  • Concordo con lombado e do del troll a xab.
    non+autenticato
  • - Scritto da: Anonimo
    > Concordo con lombado e do del troll a xab.

    Ottima contro-argomentazione!
    non+autenticato
  • Sono sempre più convinto che l'idea di creare NoScript per Firefox sia stata una benedizione.

    Ora include anche la gestione degli XSS...

    Certo, su alcuni siti è "scomodo" dover ricaricare la pagina con gli javascript attivati, ma è una cosa che alla lunga è impagabileSorride

    bye