Top straumēšanas pakalpojumi Tāpat kā Netflix un Disney+ gadu gaitā ir veikuši ilgstošas investīcijas, lai aizslēgtu savu saturu. Ikreiz, kad viņi var, viņi neļauj lietotājiem piekļūt videoklipiem bez abonēšanas vai reģiona bloķēta satura skatīšanās. Jauni atklājumi, kas šodien tika prezentēti DEFCON drošības konferencē Lasvegasā, tomēr norāda, ka straumēšanas platformas, ko izmanto tādām lietām kā iekšējās korporatīvās pārraides un sporta tiešraidēs, var būt pamata dizaina trūkumi, kas ikvienam ļauj piekļūt plašam satura daļai, nepiesakoties.
Neatkarīgais pētnieks Farzāns Karimi pirmo reizi pirms gadiem saprata, ka nepareizas konfigurācijas lietojumprogrammu programmēšanas saskarnēs vai API atklāj straumēšanas saturu neatļautai piekļuvei. 2020. gadā viņš atklāja šādu trūkumu kopumu Vimeo, kas varēja ļaut viņam piekļūt gandrīz 2000 iekšējām uzņēmumu sanāksmēm, kā arī cita veida tiešraidēm. Uzņēmums tajā laikā ātri novērsa problēmu, bet atradums atstāja Karimi ar bažām, ka līdzīgas problēmas varētu slēpties citās platformās.
Gadu vēlāk viņš saprata, ka, uzlabojot paņēmienu, kā kartēt API, iegūst datus un mijiedarboties, viņš varētu meklēt citas neaizsargātas platformas. Vietnē DEFCON Karimi iepazīstina ar secinājumiem par pašreizējo ekspozīciju vienā vispārizglītojošajā sporta straumēšanas platformā – viņš nenosauc vietni, jo problēmas vēl nav atrisinātas – un atbrīvo rīku, lai palīdzētu citiem identificēt problēmu papildu vietnēs.
“Uzņēmumam visas rokas vai cita sensitīva sanāksme varētu būt galvenā iekšējā informācija – kopīga informācija – CEOS vai citi vadītāji, kas runā par atlaišanu vai sensitīvu intelektuālo īpašumu,” pirms konferences sarunas Karimi stāstīja Wired. “Jūs varat redzēt sliktu modeli, cik viegli jūs varat apiet autentifikāciju, lai piekļūtu straumēm, taču šī problēmu klase iepriekš tika noraidīta kā prasīja dziļas zināšanas par noteiktu biznesu, lai identificētu.”
API ir pakalpojumi, kas atgūst un atdod datus tam, kurš to pieprasa. Karimi sniedz piemēru, ka jūs varat meklēt filmu Kaujas klubs Straumēšanas platformā un filmas straume var atgriezties ar informāciju par filmas, piekabju, aktieru garumu un citiem metadatiem. Vairāki API strādā kopā, lai apkopotu visu šo informāciju, katram iegūstot noteikta veida datus. Līdzīgi, ja jūs meklējat Bredu Pitu, API komplekts mijiedarbosies, lai piegādātu Kaujas klubs kopā ar citām filmām, kuras viņš ir filmējies, piemēram, Trojs un SeptiņiApvidū Daži no šiem API ir izstrādāti tā, lai prasītu autentifikācijas pierādījumu, pirms tie atgriezīs rezultātus, bet, ja sistēma nav dziļi pārbaudīta, citām API ir ierasts akli atgriezt datus, nepieprasot atļaujas pierādījumu, pieņemot, ka tikai autentificēts pieprasījums varēs nosūtīt jautājumus.
“Bieži vien ir četri, pieci, daži API skaits, kuriem ir visi šie metadati, un, ja jūs zināt, kā tos izsekot, varat bez maksas atbloķēt maksas sienas saturu,” saka Karimi. “Tā ir” drošība caur neskaidrību “modeli, kurā viņi nekad nedomātu, ka kāds spēs manuāli savienot punktus starp šīm API. Automatizācija, ko es ieviesu, tomēr palīdz šo atļauju trūkumu ātri atrast mērogā.”
Karimi uzsver, ka augstākie straumēšanas pakalpojumi lielā mērā ir bloķēti un vai nu koriģējuši šādas API nepareizas konfigurācijas, vai arī no tām izvairījās no paša sākuma. Bet viņš uzsver, ka vairāk utilitāru platformu korporatīvās straumēšanas un citiem tiešraidēm, ieskaitot vienmēr uz kamerām sporta arēnās un citās vietās, kuras ir paredzētas tikai piekļuvei noteiktā laikā-, iespējams, ir neaizsargāti un atklājoši video, kas, domājams, ir aizsargāts.
