Sé que Google procesa los videos de YouTube para evitar que tengan malware. Pero me preguntaba: ¿se procesan las miniaturas de las imágenes para evitarlas o, al menos, para que sea menos probable que contengan vulnerabilidades en el navegador o la biblioteca?
Porque creo que esto sería posible, pero no sé si lo hacen o no. Si pueden procesar los videos, también deberían poder procesar las imágenes.
Pueden, pero es MUY improbable.
Dado que tanto los videos como las imágenes de Youtube van en múltiples etapas de corte, conversión a otros formatos, etc., es muy poco probable que su exploit se mantenga en dicho entorno. Lo mejor que podría hacer es secuestrar a uno de los convertidores de Google donde probablemente aumentaría fácilmente algunas señales de alerta en los sistemas de detección de intrusos.
Incluso asumiendo que su exploit podría sobrevivir a tales cambios (lo cual es básicamente imposible), entonces estaría sujeto a muchos sistemas operativos, navegadores web, etc. Es muy probable que muchas de las configuraciones detecten algo malo con su Imagen, por lo que la mayoría de los sistemas no reproducirían este video / no mostrarían esta imagen, posiblemente incluso detectarían esa vulnerabilidad (porque los antivirus, el sistema operativo incompatible, EMET, etc.). Esto nuevamente provocaría algunas señales de alerta, probablemente antes de que muchas personas vieran el video. Y tu hazaña imposible se arruinaría.
Y es exactamente por eso que la mayoría de los exploits se guardan para objetivos valiosos: es muy fácil encontrarlos en un entorno tan diverso que Internet ciertamente lo es. Y luego, rápidamente se vuelven inútiles, porque la mayoría de los usuarios vulnerables se actualizan rápidamente.
Me imagino que una empresa como Google / YouTube toma las medidas de seguridad adecuadas / estándar con todas las cargas / archivos. Si hubiera habido un descuido en este malware a través de las miniaturas, se habría apuntado hace mucho tiempo.
Aunque no conozco los procedimientos particulares que toman el remuestreo de la imagen, verificar que es una imagen, y la eliminación de metadatos suele ser suficiente para detener un ataque de imagen. Resultaría más difícil para capturas de pantalla / miniaturas generadas directamente desde el video. A pesar de la posibilidad de un ataque a través de una imagen, en realidad es extremadamente difícil e improbable. Google no solo está haciendo su parte, sino que están sirviendo básicamente un búfer de datos para el renderizador del navegador. En este punto, es tarea del navegador prevenir nuevas vulnerabilidades. Sería difícil encontrar tales explotaciones, especialmente en los últimos años.
Entonces, si bien no es totalmente imposible, mi respuesta a esta pregunta es altamente improbable .
Lea otras preguntas en las etiquetas web-browser google exploit