آخرین مطالب
پربازدیدترین مطالب

۱۸ بهمن ۱۳۹۳

آرش کمانگیر

پادکست


امنیت سایبری با آرش کمانگیر | هجدهم | چطور از یوتیوب ویدیو دانلود نکنیم


 

ویدیویی را در یوتیوب تماشا کرده‌ای و می‌خواهی نسخه‌ای از آن را بصورت صوتی یا تصویری دانلود کنی. شاید می‌خواهی فایل را جایی offline‌ پخش کنی، یا ایده‌ای برای ویرایش ویدیو داری. مشکل این است که صفحه‌ی یوتیوب، دکمه‌هایی برای share کردن ویدیو در شبکه‌های اجتماعی و اضافه کردن آن به یک play list‌ دارد، اما هیچ‌جا دکمه‌ی save دیده نمی‌شود. این وضعیتی است که با آن زیاد روبرو می‌شویم: ابزارهای دیجیتال بعضی امکانات را به ما می‌دهند و قابلیت‌های دیگری را کاملا از دسترس ما دور نگه می‌دارند. این‌جاست که ما محتاج ابزارهای اضافی می‌شویم. وقتی یوتیوب امکان ذخیره کردن نسخه‌ای از ویدیو را بصورت فایل نمی‌دهد، ما دست به دامن ِ آدم ناشناسی می‌شویم که ابزاری تهیه کرده‌است که دقیقا کاری که می‌خواهیم را انجام می‌دهد. اما آیا موضوع همین‌جا خاتمه پیدا می‌کند؟ ابزار را می‌گیریم، فایل را دانلود می‌کنیم و دنبال کار ِ دیگری می‌رویم؟

اشتباه است اگر فرض کنیم که کار ساده‌ای مثل دانلود کردن ویدیو، صرفا یک خواسته‌ی کاربران وب است و نمی‌توان به آن در چهارچوب دیگری نگاه کرد. این‌که افراد بسیاری به‌دنبال ابزاری برای چنین کاری هستند، یک فرصت مناسب برای هرکسی است که دنبال راهی برای ورود به لپ‌تاپ و تلفن ما می‌گردد. در این سناریو، خانم و آقای هکر، ابزاری برای دانلود ویدیو از یوتیوب تهیه می‌کند، بدافزاری به آن اضافه می‌کند، و ابزار را سخاوت‌مندانه در اختیار دیگران می‌گذارد. سپس ما از ابزار استفاده می‌کنیم، آلوده می‌شویم و هکر به هدفش می‌رسد. آیا این سناریو خیال‌پردازانه است؟

در گوگل دنبال download video from YouTube گشتم و موارد پیدا شده را بررسی کردم. اولین پیشنهاد گوگل، وب‌سایتی به نشانی clipconverter.cc بود که از من می‌خواست لینک ویدیو را وارد کنم و دکمه‌ی Continue را فشار دهم. این کار را کردم. بعد از چند لحظه، صفحه‌ای باز شد که امکان انتخاب فرمت‌های مختلف صوتی و تصویری را می‌داد. از گزینه‌ها MP4 را انتخاب کردم و روی Download زدم. زیر این دکمه متنی با قلم کوچک وجود داشت که به صفحه‌ای دیگر لینک شده‌بود. در این صفحه توضیح داده شده بود که فعالیت clipconverter.cc مستلزم پرداخت هزینه‌های سرور است و به همین دلیل، این وب‌سایت بخشی از فضایش را به شرکت دیگری داده است تا در آن فعالیت تبلیغاتی کند. در این صفحه، توضیحاتی برای حذف اکستنشن SaveNet از گوگل کروم و فایرفاکس داده شده بود. این، عملا همان نگرانی‌ای است که در مواجهه با چنین وب‌سایتی داریم.

ویدیویی از ابی را انتخاب کرده بودم و پس از فشردن دکمه‌ی Download فایلی اجرایی به نام Jane Javani OFFICIAL VIDEO HD.mp4.exe (1.19MB) روی دستگاهم دانلود شد. به محض اتمام دانلود شدن، ویروس‌یاب Avira بالا پرید و وجود فایلی آلوده به تبلیغ افزار، یا adware را، روی سیستم‌ام گزارش داد. فایل را پاک کردم و از Avira خواستم سیستم را اسکن کامل کند.  وقتی دوباره تلاش کردم از وب‌سایت استفاده کنم، اجازه داد فایل ویدیویی را دانلود کنم. حدس زدم فرض می‌کند عملیات آلوده‌سازی موفقیت‌آمیز بوده است و دیگری نیازی به فریب من نمی‌بیند.

در فهرست یافته‌های گوگل پایین رفتم. وب‌سایت‌های دیگری در این فهرست وجود داشتند که ادعا می‌کردند فایل ویدیویی یا صوتی را برایم دانلود می‌کنند. کمی پایین‌تر، لینک یک اپلیکیشن برای تلفن همراه و برنامه‌ای برای ویندوز وجود داشت. برنامه‌ی تحت ویندوز، روی cnet قرار داشت و بنابراین علاوه بر نگرانی درباره‌ی هر کار ِ ناخواسته‌ای که اصل برنامه ممکن بود روی سیستم‌ام انجام دهد، نگران نرم‌افزار downloaderی که cnet برنامه‌ها را در آن بسته‌بندی می‌کند نیز بودم.

نکته‌ی کلیدی این است که ما می‌خواهیم ویدیوهایی که در یوتیوب و وب‌سایت‌های دیگر می‌بینیم را دانلود کنیم و یوتیوب به ما این امکان را نمی‌دهد. این‌جاست که هکر در چهره‌ای مهربان جلو می‌آید و ابزاری را به‌صورت رایگان دراختیارمان می‌گذارد که دقیقا کاری که می‌خواهیم را انجام می‌دهد. باید به خاطر داشته باشیم که در چنین وضعیتی، ما طعمه‌ی مناسبی برای یک اسب تروآ هستیم. برای جلوگیری از قربانی شدن دقت کنیم که فایل ویدیویی یا صوتی باید دقیقا یک فایل ویدیویی یا صوتی باشد و اگر ناشناس ِ مهربانی ادعا می‌کند با دانلود یک فایل اجرایی، به فایلی که می‌خواهیم، خواهیم رسید، باید چراغ ِ خطر ِ ذهنی‌مان روشن شود و وب‌سایت را ببندیم. خواسته‌های ساده‌ی ما، مانند دانلود کردن ویدیو از یوتیوب، بهترین فرصت برای هکرهایی هستند که می‌توانند با صرف زمان کمی، عده‌ی زیادی را در دام بیاندازند.