Google sistema alcuni bug e una grave falla di sicurezza presenti in YouTube

L’app per Android della nota piattaforma di streaming video YouTube sta (finelmente) ricevendo alcuni piccoli fix che vanno a sistemare alcuni bug che affliggevano il mini-player.

Recentemente è poi emersa una falla di sicurezza che coinvolgeva, oltre alla piattaforma di streaming, anche l’app Pixel Recorder: sono stati diffusi alcuni dettagli su questa falla di sicurezza, mai stata sfruttata attivamente (almeno secondo Big G), che Google ha già risolto.

YouTube per Android: risolti alcuni bug del mini-player

Nel mese di ottobre, Google ha introdotto un nuovo mini-player per l’app YouTube che ha rimpiazzato la “vecchia” barra orizzontale che mostrava la miniautura del video sulla sinistra, il titolo del video e il nome del canale nella parte centrale e i pulsanti (pausa, chiudi) nella parte destra. Lo stesso design veniva utilizzato per i contenuti suggeriti del tipo “Continua a guardare”, ovvero quei video avviati su altri dispositivi e di cui la visione è stata interrotta.

Il nuovo mini-player, mal digerito da molti utenti, è pensato per migliorare la fruibilità del picture-in-picture durante la navigazione in app. Tuttavia, esso presentava alcune criticità che lo rendevano poco pratico.

Fortunatamente, con le più recenti versioni dell’app per dispositivi Android (a partire dalla versione 20.05), Google ha risolto tutti i problemi, rendendo pienamente funzionale il nuovo mini-player. Permangono, invece, i fattori legati alla soggettività che portano alcuni utenti a continuare a preferire la “vecchia soluzione”.

Come scaricare o aggiornare l’app

Per scaricare l’app di YouTube per dispositivi Android o aggiornarla all’ultima versione disponibile, in modo da non rischiare di perdervi le ultime novità, potete raggiungere la pagina dell’app sul Google Play Store attraverso il badge sottostante per poi effettuare un tap su “Installa” o, eventualmente, su “Aggiorna”.

Risolta una grave falla di sicurezza di YouTube

L’hacker e ricercatore di sicurezza Brutecat ha documentato una falla di sicurezza che coinvolgeva YouTube e che ha permesso, per fortuna ai “white-hat” (ovvero gli hacker etici che sfruttano le proprie competenze per identificare e risolvere le vulnerabilità), di scoprire l’indirizzo e-mail che si cela dietro qualsiasi account YouTube.

Gli ingredienti per raggiungere questo scopo erano piuttosto “semplici”: sistema di blocco degli utenti e sistema di chat live di YouTube, versione Web di Pixel Recorder.

Come funzionava questo “exploit”?

Questo “exploit” poteva essere sfruttato giocando sul meccanismo di come YouTube blocca gli utenti: per farlo, la piattaforma memorizza l’ID dell’account Google dell’utente (noto internamente come Gaia ID) anziché l’indirizzo e-mail effettivo.

In pratica, è stato scoperto che, cliccando sul profilo di un utente in una chat live di YouTube si attivava una richiesta al backend di YouTube che conteneva il Gaia ID codificato in base64: qualsiasi utente YouTube, inclusi quelli che volevano rimanere anonimi, erano in realtà esposti; è infatti possibile convertire il Gaia ID nell’indirizzo e-mail reale.

Come anticipato, un altro elemento fondamentale di questo “exploit” è Pixel Recorder: condividendo una registrazione tramite la versione Web del registratore predefinito degli smartphone della gamma Pixel, il sistema restituisce l’indirizzo e-mail del destinatario in risposta alla richiesta (a patto che gli venga fornito il Gaia ID del destinatario).

Sebbene il sistema di condivisione dell’app mandasse una notifica al “bersaglio” a ogni registrazione condivisa, è stato trovato anche un modo per far “fallire” il sistema di notifica stesso generando un titolo infinitamente lungo (milioni di caratteri) per la registrazione.

Google è venuta a conoscenza di questa falla di sicurezza a settembre, classificandola inizialmente come “duplicato” di un bug precedente ma, una volta ricevuta la spiegazione dettagliata di tutta la faccenda, ha successivamente corretto il tiro, riconoscendola come una falla “a elevato rischio”.

Il colosso di Mountain View ha risolto tutti i problemi coinvolti nella faccenda (quello legato al Gaia ID, l’esposizione degli indirizzi e-mail di Pixel Recorder e il sistema di blocco di YouTube), confermando a BleepingComputer che non ci sono prove sul fatto che questa falla sia stata sfruttata prima della sua correzione.