En İyi Akış Hizmetleri Netflix ve Disney+ gibi, içeriklerini kilitlemek için yıllar boyunca sürekli yatırımlar yaptılar. Ne zaman yapabildikleri zaman, kullanıcıların abonelik olmadan videolara erişmelerini veya bölge bloklu içeriği izlemelerini engeller. Bugün Las Vegas’taki Defcon Güvenlik Konferansı’nda sunulan yeni bulgular, dahili kurumsal yayınlar ve spor canlı yayınları gibi şeyler için kullanılan akış platformlarının, herkesin giriş yapmadan geniş bir içerik alanına erişmesine izin veren temel tasarım kusurları içerebileceğini göstermektedir.
Bağımsız araştırmacı Farzan Karimi ilk yıl önce uygulama programlama arayüzlerindeki yanlış yapılandırmaların veya API’lerin akış içeriğini yetkisiz erişime maruz bıraktığını fark etti. 2020’de Vimeo’ya, diğer canlı şirket toplantılarına ve diğer canlı şirket toplantılarına erişmesine izin verebilecek bir dizi kusur açıkladı. Şirket o zamanlar sorunu hızla düzeltti, ancak bulgu Karimi’yi benzer sorunların diğer platformlarda gizlenebileceğine dair endişelerle bıraktı.
Yıllar sonra, API’lerin verileri nasıl aldığını ve etkileşime girdiğini haritalamak için bir tekniği rafine ederek, diğer savunmasız platformları arayabileceğini fark etti. DEFCON’da Karimi, bir ana akım spor akış platformunda mevcut maruziyetler hakkında bulgular sunuyor – site adını vermiyor çünkü sorunlar henüz çözülmedi – ve başkalarının sorunu ek sitelerde tanımlamasına yardımcı olacak bir araç yayınlıyor.
Wired, konferans konuşmasının önünde Wired’e verdiği demeçte, “Bir şirket için tüm eller veya diğer hassas toplantı için paylaşılan önemli iç bilgiler olabilir – işten çıkarmalar veya hassas fikri mülkiyet hakkında konuşan CEO’lar veya diğer yöneticiler” dedi. “Akışlara erişim için kimlik doğrulamasını ne kadar kolay atlatabileceğiniz konusunda kötü bir model ortaya çıktığını görebilirsiniz, ancak bu konu sınıfı daha önce belirli bir işletmenin tanımlanması için derin bilgiyi gerektirdiği için reddedilmişti.”
API’ler, isteyen herkese veri getiren ve döndüren hizmetlerdir. Karimi, filmi arayabileceğiniz örneği veriyor Dövüş kulübü Bir akış platformunda ve filmin akışı, filmin uzunluğu, fragmanlar, filmdeki aktörler ve diğer meta veriler hakkında bilgi ile geri gelebilir. Birden fazla API, tüm bu bilgileri belirli bir veri türünü getirerek bir araya getirmek için birlikte çalışır. Benzer şekilde, Brad Pitt’i ararsanız, bir dizi API. Dövüş kulübü diğer filmlerle birlikte Troy Ve Yedi. Bu API’lerin bazıları, sonuçları döndürmeden önce kimlik doğrulama kanıtı gerektirecek şekilde tasarlanmıştır, ancak bir sistem derinlemesine incelenmemişse, diğer API’lerin yalnızca kimlik doğrulamalı bir isteyicinin sorgu gönderecek bir konumda olacağı varsayımı üzerine yetkilendirme kanıtı gerektirmeden körü körüne iade etmesi yaygındır.
Karimi, “Çoğu zaman temelde dört, beş, tüm bu meta verilere sahip bir dizi API vardır ve bunları nasıl izleyeceğinizi biliyorsanız, ödeme duvarlı içeriğin ücretsiz olarak kilidini ücretsiz açabilirsiniz” diyor Karimi. “Bu, birisinin bu API’lar arasındaki noktaları manuel olarak bağlayabileceğini asla düşünemeyecekleri bir ‘müstehcenlik yoluyla güvenlik’ modeli. Bununla birlikte, tanıttığım otomasyon bu yetkilendirme kusurlarını hızlı bir şekilde ölçeklendirmeye yardımcı oluyor.”
Karimi, en iyi akış hizmetlerinin büyük ölçüde kilitlendiğini ve bu tür API yanlış yakınlaştırmalarını uzun zaman önce düzelttiğini veya başlangıçtan kaçındığını vurguluyor. Ancak, kurumsal akış ve diğer canlı etkinlikler için-spor arenalarındaki ve sadece belirli zamanlarda erişilebilir olması amaçlanan diğer mekanlarda kameralar da dahil olmak üzere daha faydacı platformların, korunduğu düşünülen savunmasız ve ortaya çıkan videoları ortaya çıkardığını vurgulamaktadır.