Magasabb streaming szolgáltatások Mivel a Netflix és a Disney + az évek során támogatott beruházásokat hajtottak végre a tartalom bezárására. Amikor csak tudják, megakadályozzák a felhasználókat, hogy előfizetés nélkül hozzáférjenek a videókhoz, vagy nézzenek meg a régió által blokkolt tartalmat. A Las Vegas -i Defcon biztonsági konferencián ma bemutatott új felfedezések azonban azt mutatják, hogy a belső üzleti kibocsátásokhoz és a sport adásokhoz használt streaming platformok olyan alapvető tervezési hibákat tartalmazhatnak, amelyek lehetővé teszik, hogy bárki hozzáférjen egy nagy tartalomcsomaghoz csatlakozás nélkül.
Farzan Karimi független kutató először évekkel ezelőtt érte el, hogy az alkalmazásprogramozási interfészek konfigurációs hibái, vagy az API -ban a streaming tartalmat az illetéktelen hozzáférésnek tették ki. 2020 -ban felfedte a Vimeo -ban egy ilyen hibát, amely lehetővé tette volna számára, hogy közel 2000 belső vállalat, valamint más típusú élő áramlásokhoz férjen hozzá. A társaság akkoriban gyorsan megoldotta a problémát, de a következtetés elhagyta Karimi -t, hogy attól tartson, hogy hasonló problémák rejtenek más platformon.
Évekkel később rájött, hogy egy technika finomításával, hogy az API -k hogyan az adatokat és az interakciót feltérképezik, más sebezhető platformokat kereshet. A Defcon -nál Karimi a hagyományos sport streaming platformon a jelenlegi kiállítások eredményeit mutatja be – nem nevezi meg a webhelyet, mert a problémákat még nem oldják meg, és egy olyan eszköz közzététele, amely segít másoknak a további webhelyek problémájának azonosításában.
“Egy társaság minden kéz vagy bármilyen más érzékeny találkozó számára megoszthatók a kulcsfontosságú információk – a vezérigazgatók vagy más vezetők, akik érzékeny vagy érzékeny szellemi tulajdonról beszélnek” – mondta Karimi Wired a konferencia bemutatása előtt. “Láthatja, hogy egy rossz rendszer alakul ki abban a könnyedségben, amellyel megkerülheti a hitelesítést az áramlások elérése érdekében, de ezt a problémát korábban elutasították, hogy egy adott vállalat mélyreható ismereteit megköveteljék.”
Az API -k olyan szolgáltatások, amelyek helyreállítják és utalják az adatokat a kérésre. Karimi adja meg a példa, amelyben a filmet keresheti Harci klub Egy streaming platformon, és a film áramlása visszatérhet a film, a pótkocsik, a filmek színészek és más metaadatok hosszáról. Számos API együtt dolgozik annak érdekében, hogy ezeket az információkat összegyűjtse minden egyes típusú adatok helyreállításával. Hasonlóképpen, ha Brad Pitt -et keresi, egy interagi -készletet kell kézbesíteni Harci klub más olyan filmekkel, amelyekben játszott Trója És Hét– Ezeknek az API -knek egy részét úgy tervezték, hogy a hitelesítés igazolását megköveteljék az eredmények visszatérése előtt, de ha egy rendszert még nem vizsgáltak mélyen, akkor általános, hogy más API -k vakon visszatérnek anélkül, hogy az engedélyt igazolnák, feltételezve, hogy csak egy hitelesített kereső képes lesz kéréseket küldeni.
“Gyakran vannak alapvetően négy, öt olyan API, amelyek mindegyike rendelkezik ezekkel a metaadatokkal, és ha tudod, hogyan kell megtalálni őket, akkor ingyenesen kinyithatja a fizetett faltartalmat” – magyarázza Karimi. “Ez a” sötétség by Darkness “modellje, ahol soha nem gondolja, hogy valaki képes lesz manuálisan összekapcsolni a pontokat ezen API -k között. Az általam bemutatott automatizálás azonban segít gyorsan megtalálni ezeket a nagy méretű engedélyezési hibákat.”
Karimi hangsúlyozza, hogy a legjobb streaming szolgáltatások széles körben vannak zárva, és már régen kijavították ezeket az API -konfigurációs hibákat, vagy már a kezdetektől elkerülték őket. Hangsúlyozza azonban, hogy az üzleti streaming és más élő rendezvények utilitárius platformjai, különösen a kamerák mindig sportos arénákon és más helyeken, amelyek időnként elérhetőek – valószínűleg sebezhetőek, és egy olyan videót tesznek ki, amelyet védettnek tekintnek.
