Serviços de streaming superior como Netflix e Disney+ fizeram investimentos sustentados ao longo dos anos para bloquear seu conteúdo. Sempre que podem, eles impedem que os usuários acessem vídeos sem assinatura ou assistindo a conteúdo bloqueado pela região. Novas descobertas apresentadas hoje no Defcon A Conferência de Segurança em Las Vegas, porém, indica que as plataformas de streaming usadas para itens como transmissões corporativas internas e transmissores de vida esportivos podem conter falhas básicas de design que permitem que qualquer pessoa acesse uma vasta faixa de conteúdo sem fazer login.
O pesquisador independente Farzan Karimi percebeu pela primeira vez anos atrás, que as configurações incorretas nas interfaces de programação de aplicativos, ou APIs, expuseram o conteúdo de streaming ao acesso não autorizado. Em 2020, ele divulgou um conjunto dessas falhas ao Vimeo que poderia ter permitido que ele acesse quase 2.000 reuniões internas da empresa, juntamente com outros tipos de transmissão ao vivo. A empresa resolveu rapidamente o problema na época, mas a descoberta deixou Karimi com preocupações de que problemas semelhantes poderiam estar à espreita em outras plataformas.
Anos depois, ele percebeu que, refinando uma técnica para mapear como a APIs recuperar dados e interagir, ele poderia procurar outras plataformas vulneráveis. Na Defcon, Karimi está apresentando descobertas sobre as exposições atuais em uma plataforma de streaming esportiva convencional – ele não está nomeando o site porque os problemas ainda não foram resolvidos – e liberando uma ferramenta para ajudar outras pessoas a identificar o problema em sites adicionais.
“Para uma empresa todas as mãos ou outra reunião sensível, pode haver informações internas importantes sendo compartilhadas – CEOs ou outros executivos falando sobre demissões ou propriedade intelectual sensível”, disse Karimi à Wired antes da palestra da conferência. “Você pode ver um padrão ruim emergir com a facilidade com que pode contornar a autenticação para acessar fluxos, mas essa classe de problema foi anteriormente descartada como exigindo um profundo conhecimento de um determinado negócio para identificar”.
APIs são serviços que buscam e retornam dados para quem o solicita. Karimi dá o exemplo de que você pode procurar o filme Clube de Fight Em uma plataforma de streaming, e o fluxo do filme pode voltar com informações sobre a duração do filme, trailers, atores do filme e outros metadados. Múltiplas APIs trabalham juntas para montar todas essas informações a cada busca de certos tipos de dados. Da mesma forma, se você procurar Brad Pitt, um conjunto de APIs interagirá para entregar Clube de Fight junto com outros filmes em que ele estrelou como Troy e Sete. Algumas dessas APIs foram projetadas para exigir prova de autenticação antes que retornem os resultados, mas se um sistema não tiver sido examinado profundamente, é comum que outras APIs retornem cegamente os dados sem exigir uma prova de autorização na suposição de que apenas um solicitante autenticado estará em posição para enviar consultas.
“Muitas vezes, existem basicamente quatro, cinco, um número de APIs que têm todos esses metadados e, se você souber como rastrear através delas, pode desbloquear conteúdo de paredes pagas gratuitamente”, diz Karimi. “É um modelo de ‘segurança através da obscuridade’, onde eles nunca pensariam que alguém seria capaz de conectar manualmente os pontos entre essas APIs. A automação que estou apresentando, no entanto, ajuda a encontrar essas falhas de autorização rapidamente em escala”.
Karimi enfatiza que os principais serviços de streaming são amplamente travados e corrigiram essas configurações incorretas da API há muito tempo ou os evitam desde o início. Mas ele enfatiza que mais plataformas utilitárias para streaming corporativo e outros eventos ao vivo-incluindo câmeras sempre ativadas em arenas esportivas e outros locais que devem ser acessíveis apenas em determinados momentos-são provavelmente vulneráveis e expostos a vídeos que se pensam ser protegido.
