Google lee textos en videos de YouTube sin consentimiento para rastreo de búsqueda

Google está utilizando técnicas de reconocimiento óptico de caracteres (OCR) para rastrear las URLs encontradas en videos de YouTube, incluyendo videos privados, según el programador Austin Burk, reportado por primera vez por Naked Security. Burk encontró una vulnerabilidad XSS en un sitio web diferente, la cual estaba reproduciendo utilizando software de captura de pantalla como parte de un paquete de divulgación responsable. Después de subir el video a YouTube, encontró evidencia de actividad de rastreo con el agente de usuario "Google-Youtube-Links" en los registros del servidor en un sistema que él controla.

De acuerdo con Burk, las URLs eran visibles en la barra de direcciones durante el video, el cual fue subido a YouTube pero mantenido como no listado. Burk luego realizó un video privado para probar el comportamiento, el cual ocurrió de la misma manera que en el video no listado creado para la divulgación responsable.

Teniendo en cuenta que el producto principal de Google es la búsqueda, tiene sentido que la compañía siempre esté escaneando la web. El uso por parte de Google de la actividad personal de los usuarios, incluyendo el historial de navegación y la ubicación, para dirigir la publicidad y los resultados de búsqueda es bien conocido. Sin embargo, el artículo de ayuda de YouTube para la configuración de privacidad de videos no menciona este comportamiento, y el artículo de ayuda de Google que lista los tokens de agente de usuario para sus rastreadores de búsqueda tampoco menciona la existencia de este rastreador.

VER: Política de virtualización (Investigación de Tech Pro)

Incluso si las intenciones de Google son inocuas, esto podría ser potencialmente muy perjudicial. Burk propone un escenario similar al problema XSS que estaba divulgando:

Un investigador de seguridad ha encontrado una vulnerabilidad crítica en un sitio, y ha creado una URL que la disparará, causando efectos dañinos en el sitio web (por ejemplo, una vulnerabilidad de inyección SQL que eliminará las tablas de la base de datos).

Cómo protegerse contra los ataques de fuerza bruta y diccionario

Durante el video, menciona que no visitará la URL ya que causaría problemas, pero la muestra para que la empresa a la que está divulgando responsablemente pueda solucionarlo. Lo suben como no listado a YouTube y envían su informe. Cinco minutos después, Google-Youtube-Links llega y envía dos solicitudes a la URL, desencadenando la inyección SQL y dejando el sitio roto.

Por esta razón, no se recomienda utilizar YouTube para alojar videos, incluso si son privados, para divulgaciones de seguridad, ya que la integridad de la divulgación no se puede asegurar con el rastreador de búsqueda de Google explorando sitios web inspeccionados. Es difícil culpar completamente a Google por esta actividad, ya que actores malintencionados podrían utilizar YouTube para instruir a víctimas desprevenidas a escribir manualmente enlaces en la barra de direcciones, llevándolos a virus o contenido ilícito.

Dicho esto, la absoluta falta de documentación o reconocimiento por parte de Google sobre esto en la documentación pública debería hacer que los usuarios se sientan inquietos acerca de cómo Google está utilizando los datos subidos a sus servicios.

Newsmatic se puso en contacto con Google, pero no recibió una respuesta al momento de la publicación. Actualizaremos esta historia si Google proporciona una declaración.

Las principales conclusiones para los líderes tecnológicos:

  • Google está utilizando técnicas de reconocimiento óptico de caracteres (OCR) para rastrear las URLs encontradas en videos de YouTube, incluyendo videos no listados y privados.
  • Las páginas de ayuda de Google para YouTube y Search Console no mencionan este comportamiento.

Cazando ciberdelincuentes: Guía imprescindible para profesionales de negocios

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Google lee textos en videos de YouTube sin consentimiento para rastreo de búsqueda , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.