Huono kokoonpano, joka kummittelee yritysten suoratoistoalustoja, voisi paljastaa arkaluontoisia tietoja

Huono kokoonpano, joka kummittelee yritysten suoratoistoalustoja, voisi paljastaa arkaluontoisia tietoja

Korkeammat suoratoistopalvelut Kuten Netflix ja Disney + ovat tehneet tuettuja investointeja vuosien varrella sisällön lukitsemiseksi. Aina kun he voivat, ne estävät käyttäjiä käyttämästä videoita ilman tilausta tai katsomassa alueen esteitä sisältöä. Uudet löytöt, jotka esitetään tänään Defcon -tietoturvakonferenssissa Las Vegasissa, osoittavat kuitenkin, että suoratoistoalustat, joita käytetään esimerkiksi sisäisten yrityspäästöjen ja urheilulähetysten suhteen, voivat sisältää perussuunnitteluvirheitä, joiden avulla kuka tahansa pääsee suureen sisältöryhmään ilman yhteyksiä.

Riippumaton tutkija Farzan Karimi saavutti ensin vuosia sitten, että sovellusohjelmointirajapintojen tai sovellusliittymän kokoonpanovirheet paljastavat suoratoistosisällön luvattomaan pääsyyn. Vuonna 2020 hän paljasti joukon tällaisia vikoja Vimeossa, mikä olisi voinut antaa hänelle mahdollisuuden käyttää lähes 2000 sisäisen yrityksen ja muun tyyppisiä live -virtauksia. Yhtiö ratkaisi ongelman nopeasti tuolloin, mutta johtopäätös jätti Karimin pelkäämään, että samanlaiset ongelmat piiloutuvat muille alustoille.

Vuosia myöhemmin se tajusi, että puhdistamalla tekniikkaa tietojen sovellusliittymien kartoittamiseksi ja vuorovaikutuksessa se voisi etsiä muita haavoittuvia alustoja. Defconissa Karimi esittelee tuloksia nykyisistä näyttelyistä perinteisessä urheilun suoratoistoalustassa – hän ei nimeä sivustoa, koska ongelmia ei vielä ole ratkaistu ja työkalujen julkaiseminen, jotta muut tunnistavat ongelman lisäpaikoilla.

“Yritykselle kaikki kädet tai muut arkaluontoiset kokoukset voivat olla yhteisiä avaintietoja – toimitusjohtajat tai muut johtajat, jotka puhuvat arkaluontoisesta tai arkaluontoisesta immateriaalioikeudesta”, Karimi kertoi Wired ennen konferenssien esittelyä. “Voit nähdä huonon järjestelmän, joka on syntynyt helpolla, jolla voit kiertää todennusta päästäksesi virtauksiin, mutta tämä ongelmaluokka hylättiin aikaisemmin tietyn yrityksen perusteellisen tiedon vaatimiseksi.”

Sovellusliittymät ovat palveluita, jotka palauttavat ja viittaavat tietoihin niihin, jotka pyytävät niitä. Karimi antaa esimerkin, jonka voit etsiä elokuvaa Taistelukerho Suoratoistoalustalla ja elokuvan virtaus voi palata tiedoilla elokuvan, trailerien, elokuvanäyttelijöiden ja muiden metatietojen pituudesta. Useat sovellusliittymät työskentelevät yhdessä kaikkien näiden tietojen kokoamiseksi jokaisen palauttamalla tietyntyyppiset tiedot. Samoin, jos etsit Brad Pittia, joukko toimivuutta toimittaa Taistelukerho muiden elokuvien kanssa, joissa hän soitti Troy Ja Seitsemän. Jotkut näistä sovellusliittymistä on suunniteltu vaatimaan todennuksen todisteita ennen kuin ne palauttavat tulokset, mutta jos järjestelmää ei ole tutkittu syvästi, on yleistä, että muut sovellusliittymät palautuvat sokeasti ilman, että vaaditaan todisteita lupauksesta olettamalla, että vain todennettu etsijä pystyy lähettämään pyyntöjä.

“Usein on olennaisesti neljä, viisi, useita sovellusliittymiä, joilla on kaikki nämä metatiedot, ja jos osaat löytää ne, voit avata maksetun seinämän sisällön ilmaiseksi”, Karimi selittää. “Se on” pimeyden pimeyden “malli, jossa hän ei koskaan ajattele, että joku kykenee yhdistämään näiden sovellusliittymien väliset kohdat manuaalisesti. Esittelemäni automaatio auttaa kuitenkin nopeasti löytämään nämä suuret valtuutusvauriot.”

Karimi korostaa, että parhaat suoratoistopalvelut ovat laajasti lukittuja ja ovat korjattu nämä API -kokoonpanovirheet kauan sitten tai ovat välineet niitä alusta alkaen. Mutta hän korostaa, että liiketoiminnan suoratoistoon ja muihin live -tapahtumiin, etenkin kamerat, jotka ovat aina urheilun areenoilla ja muissa paikoissa, joiden oletetaan olevan toisinaan saavutettavissa – ovat todennäköisesti haavoittuvia ja paljastavat videon, jota pidetään suojattuna.

Leave a Reply

Your email address will not be published. Required fields are marked *