YouTube Studio官方应用可以让其用户可以随时随地、更轻松快捷的管理自己的YouTube频道。你可以查看最新统计信息、回复评论、创建及更新视频缩略图和帐号个人资料照片，以及接收通知，从而随时随地掌握最新动态。主要功能如下：

1.通过简单易用的分析工具监控频道和视频效果；

2.回复和管理评论；

3.在有与频道相关的重要事件发生时及时得到通知；

4.更新视频详细信息，包括说明、标题、自定义缩略图和获利设置；

5.管理播放列表；

6.创建并更新帐号个人资料照片；

7.通过语音搜索帮助内容；

8.一次更新所有视频，这个功能叫做批量更新；

这么好用的工具，当然是YouTube用户的必备神器。不过，有一天当我在清理桌面文件夹的时候，偶然发现了一个叫“PoCs”的文件夹，里面全是YouTube Studio的文本文件和图片。它们来自之前已经被曝光的安全漏洞，其中99%来自Google漏洞奖励计划。

本文将讨论我在YouTube web应用程序中发现的两个漏洞，更准确的说，是在Studio平台中发现的两个漏洞。

漏洞1：修改任何YouTube视频设置 

如果你进入YT Studio主页，你会看到在左侧菜单中有一个名为Videos的选项卡，点击后会跳转到一个新的页面，在那里你可以看到你所有的视频。

如果你是内容创建者，并希望一次更改所有视频，且可以在说明中添加新的合作伙伴链接，在标题中添加标记，或通过将所有视频设置为私人，来关闭频道，那么就会有一个允许您这样做的功能。通过选择要更新的视频，一个新的工具栏将出现在应用程序的上下文中。然后，你将能够选择要更改的视频部分（标题、描述、标签、可见性、评论等），此时页面将显示一个新的更新按钮。

这个蓝色的更新按钮，一旦点击就会触发对YouTube服务器的POST请求(https://studio.youtube.com/youtubei/v1/creator/enqueue_creator_bulk_action)，并且将作为正文提供JSON格式的代码。该JSON对象包含各种属性和配置参数，但其中只有一个参数引起了我的注意:一个名为videos的参数，它由videoIds对象表示，该对象有一个数组，其中包含我刚刚选择要更新的视频的ID。

在玩了一下之后，我发现没有保护或访问权限检查来验证这些ID值背后的视频是否真正归启动更新过程的用户所有。这意味着，我可以通过设置视频ID来更改任何YouTube视频的设置。

这个漏洞的影响非常大，因为我只要将YouTube频道设置为私人，就可以随时将其关闭。这样用户将无法找到这些视频，然后，许多和视频相关的评论也将自动消失。所以，如果有人想推广一个网站或一个视频，这个漏洞可以帮助他很多。因为他唯一需要做的就是更新一些最受欢迎的YouTube视频的标题和视频，如《Shape of You》，《Shape of You》（你的样子），该首单曲在2017年1月推出，即以闪电速度刷新Spotify和Youtube上的点击纪录，此外，如果有人想获得一些意外之财，他可以在一些高排名视频的描述中添加用于“捐赠”的PayPal帐户，就像如今许多youtube用户所做的那样。

点击此链接，你就可以看到我为这个漏洞所创建的PoC视频，它包含了这个漏洞的所有技术介绍和使用步骤。不过，此漏洞已经于2018.12.13修复了。

漏洞2：获取任何YouTube用户未列出的播放列表

第二个漏洞是一个逻辑缺陷，攻击者可以看到任何未列出的YouTube用户的播放列表。

每当用户打开Studio仪表板，计划编辑特定的视频时，他必须首先单击它，然后被重定向到一个新页面。

打开此页面后，新的POST请求将在后台发送到https://studio.youtube.com/youtubei/v1/creator/list_creator_playlists端点，顾名思义，该端点将检索当前登录用户的所有播放列表，此请求的作用是从“视频编辑”页面添加“播放列表”部分。

同样，该请求的对象是JSON格式，且其中包含一个名为channelId的属性，表示当前正在编辑的通道的值。经过多次测试后，我发现后端脚本并不会验证用户为channelId参数提供的值是否就是他的通道ID。

在应用程序返回的响应中，所有与该特定channelId相关联的播放列表只需满足一个条件：该频道应该只有公共和未列出的播放列表。

如果满足这个条件，攻击者就可以获得YouTube用户的任何未列出的播放列表。这更像是一个隐私漏洞，因为未列出的播放列表(作为未列出的视频)在平台上是找不到的，除非由拥有它的人共享。

该漏洞是在2018年11月发现，已经于12月底进行了修复。

另外，在春节期间，有媒体曝出，欺诈者滥用YouTube内容违规系统对用户进行勒索。

欺诈者滥用YouTube内容违规系统对用户进行勒索

欺诈者正在滥用YouTube的政策违规系统，通过向内容原创者提交虚假版权侵权行为，进而进行勒索。如果达不到目的，则欺诈者就会不断申请所谓的侵权保护，直到内容原创者的频道将被禁止。

大家都知道，YouTube有一个政策侵权系统（policy infringement system ），用户可以在该平台报告他们认为违反相关政策的视频，例如与色情、暴力、极端思想以及盗版相关的内容和图片。当后台收到政策违规报告时，如果确认被举报的视频具有违规行为，则会对其进行审核，审核无误后，YouTube会针对视频所有者的帐户发布警示并从后台删除该视频。

如果一个YouTube帐号在三个月内收到三次警示，他们的帐号将被永久终止。根据目前的政策，一旦有相关内容被举报，则YouTube在被证明无罪之前通常会将频道所有者视为有罪，即有罪推定，进而进行一些限制。

诈骗者正是利用这个政策漏洞，向YouTube上的内容创作者进行勒索，这是一位名为Logan或ObbyRaidz的内容创作者最近发现的漏洞。

在这段视频中，Logan声称他的YouTube频道因违反版权规定而在一个月内被警示了两次，后来他才知道，是有人要勒索他，因为很快就有诈骗者试图联系他。诈骗者表示，如果他不按着要求通过PayPal或比特币给他们汇款，则他们将进行第三次举报。如果Logan支付赎金，则他们将联系YouTube，删除之前对该频道的举报。

Logan收到的消息来自一个署名为VengefulFlame的人，他说Logan需要通过PayPal向他们支付150美元或给他们价值75美元的比特币，否则诈骗者将进行第三次举报。

勒索消息

之后，Logan多次试图让YouTube反应此时并寻求帮助，但都未能获得回应。之后，Logan在Twitter上发布求助信息，请其他YouTube用户和他的追随者尝试传播这个勒索消息。不过，诈骗者也注意到了这些，他们也在Twitter上看到了这些消息，并向Logan发来了一条私信，表示交易取消，攻击继续。

接下来，诈骗者将试图让Logan的Twitter账户被永久禁止。

诈骗者的另一个消息

事实证明，Logan并不是唯一一个被VengefulFlame勒索的人。另一个名叫Kenzo的YouTube用户也受到了如下他的攻击。

对Kenzo攻击的证据

不过，和对Logan的做法不同，从Kenzo收到勒索消息可以看出，VengefulFlame向他要求的赎金，是价值高达200美元的比特币或用Paypal直接支付300美元。赎金如此之高可能是因为Kenzo的粉丝数量远远超过Logan。

Kenzo的勒索信息

经过调查，VengefulFlame也是一名活跃在Twitter上的用户。因为Kenzo的一些粉丝声称，一个名为VengefulFlame的Twitter帐户，该账户使用的头像与联系Logan和Kenzo的那个头像相同。

BleepingComputer（美国一家媒体）通过Twitter联系了这个帐户，当被问及他对Kenzo的YouTube事件是否知情时，他告诉媒体他只了解Logan或ObbyRaidz的事情。

当媒体试图进一步询问他是否就是勒索Logan的幕后策划者时，他拒绝进一步回应。

YouTube的处理结果

最后，YouTube从Logan和Kenzo的帐户后天中删除了这些虚假的举报内容，并终止了提交这些举报内容的帐户。

不过，这表明YouTube的违规系统已被攻击者利用了，因为提交违规行为非常容易。这跟谷歌侧重听取举报者的规则有关，是时候反思一下该系统了。

当我们与YouTube联系，了解内容创作者如何在此类情况下获得帮助以及他们计划采取哪些措施来防止此类滥用行为时，YouTube提供了以下声明：

我们对试图滥用版权制度的欺诈行为者实施零容忍，我们早在之前就对该问题进行了回应，具体请点此。

参考及来源：

https://www.bleepingcomputer.com/news/security/new-scam-holds-youtube-channels-for-ransom/

https://www.linkedin.com/pulse/hacking-youtube-fun-profit-alexandru-coltuneac/