Servicios de transmisión más altos Como Netflix y Disney + han realizado inversiones apoyadas a lo largo de los años para bloquear su contenido. Siempre que puedan, evitan que los usuarios accedan a videos sin suscripción o vea contenido bloqueado por la región. Sin embargo, los nuevos descubrimientos presentados hoy en la Conferencia de Seguridad Defcon en Las Vegas indican que las plataformas de transmisión utilizadas para cosas como emisiones de negocios internos y transmisiones deportivas pueden contener defectos de diseño básicos que permiten acceder a una gran banda de contenido sin conectarse.
El investigador independiente Farzan Karimi logró por primera vez hace años que los errores de configuración en las interfaces de programación de aplicaciones, o API, expusieron contenido de transmisión al acceso no autorizado. En 2020, reveló un conjunto de tales defectos en Vimeo que podrían haberle permitido acceder a casi 2,000 reuniones de compañías internas, así como otros tipos de flujos vivos. La compañía rápidamente resolvió el problema en ese momento, pero la conclusión dejó a Karimi para temer que problemas similares se esconden en otras plataformas.
Años más tarde, se dio cuenta de que al refinar una técnica para mapear cómo las API son los datos e interactuar, podría buscar otras plataformas vulnerables. En Defcon, Karimi presenta resultados en las exposiciones actuales en una plataforma de transmisión deportiva tradicional: no nombra el sitio porque los problemas aún no se han resuelto y la publicación de una herramienta para ayudar a otros a identificar el problema en sitios adicionales.
“Para una empresa todas las manos o cualquier otra reunión sensible, puede haber información clave compartida: CEO u otros ejecutivos que hablan de propiedad intelectual sensible o sensible”, dijo Karimi a Wired antes de su presentación de la conferencia. “Puede ver un mal esquema emergente en la facilidad con la que puede eludir la autenticación para acceder a los flujos, pero esta clase de problemas fue previamente rechazada como requería en el conocimiento profundo de una compañía determinada para identificar”.
Las API son servicios que se recuperan y remiten los datos al que los pide. Karimi da el ejemplo que puedes buscar la película Club de combate En una plataforma de transmisión, y el flujo de la película puede regresar con información sobre la longitud de la película, trailers, actores de cine y otros metadatos. Varias API trabajan juntas para ensamblar toda esta información con cada una recuperación de ciertos tipos de datos. Del mismo modo, si está buscando a Brad Pitt, un conjunto de una voluntad interagi para entregar Club de combate con otras películas en las que tocó como Troy Y Siete. Algunas de estas API están diseñadas para requerir una prueba de autenticación antes de devolver los resultados, pero si un sistema no se ha examinado profundamente, es común que otras API regresen ciegamente sin requerir prueba de autorización al suponer que solo un buscador autenticado podrá enviar solicitudes.
“A menudo hay esencialmente cuatro, cinco, una serie de API que tienen todos estos metadatos, y si sabe cómo encontrarlas, puede desbloquear contenido de pared pagado de forma gratuita”, explica Karimi. “Es un modelo de” oscuridad por la oscuridad “donde nunca pensaría que alguien podría conectar manualmente los puntos entre estas API. Sin embargo, la automatización que presento ayuda a encontrar rápidamente estos defectos de autorización a gran escala”.
Karimi enfatiza que los mejores servicios de transmisión están ampliamente bloqueados y han corregido estos errores de configuración de API hace mucho tiempo o los han evitado desde el principio. Pero enfatiza que las plataformas más utilitarias para la transmisión de negocios y otros eventos en vivo, especialmente las cámaras siempre en arenas deportivas y otros lugares a los que se supone que son accesibles a veces, probablemente son vulnerables y exponen un video que se considera protegido.
