頂流服務 像Netflix和Disney+一樣,他們多年來進行了持續投資以鎖定其內容。每次可以,他們都會阻止用戶無需訂閱或跟踪具有區域阻塞的內容而訪問視頻。今天在拉斯維加斯舉行的Defcon安全會議上提出的新發現表明,用於內部公司廣播和體育供稿等事物的連續流平台可能包含基本的設計缺陷,使任何人都可以訪問大量內容。
獨立的研究員法爾尚·卡里米(Farzan Karimi)在幾年前的第一次意識到,應用程序或API界面中的誤解,將流量內容暴露於未經授權的訪問中。在2020年,他透露了Vimeo中的一系列缺陷,可以使他能夠與其他類型的生活一起訪問公司的近2,000次內部會議。該公司當時很快設定了這個問題,但是這一發現使卡里米(Karimi)擔心可能會隱藏在其他平台上的類似問題。
多年後,他意識到,通過改進映射API恢復和互動方式的技術,他可以尋找其他脆弱的平台。在Defcon,Karimi在體育連續流程平台上對當前展覽的發現 – 沒有解決該站點,因為尚未解決該網站 – 並釋放一種工具來幫助其他人在其他站點上識別該問題。
卡里米在討論會議之前在討論會議前告訴《連線》:“對於公司的所有手或其他敏感會議,可能會有基本的內部信息 – 首席執行官或其他高管談論裁員或敏感的知識產權。” “您可以看到一個不好的模式出現在您很容易繞過身份驗證以獲取電流的方式的情況下,但是此主題類別以前被拒絕,因為要求對特定業務進行深入了解以識別。”
API是接收並將數據返回給任何要求它的人的服務。卡里米(Karimi 戰鬥俱樂部 在流程平台上,電影的電流可以返回有關電影的長度,預告片,電影中的演員和其他元數據的信息。多個API共同努力,每次招募某些類型的數據。同樣,如果您尋找布拉德·皮特(Brad Pitt),API集將相互作用以交付 戰鬥俱樂部 以及其他電影 重量單位 和 七。這些API中的一些旨在在返回結果之前需要進行身份驗證的證明,但是如果沒有對系統進行深入檢查,則其他API通常返迴盲目數據而不需要授權證明的假設,即只有一個經過認證的申請人能夠發送問題。
Karimi說:“通常,基本上有四個,五個API都具有所有這些元數據,如果您知道如何通過它們找到答案,則可以免費解鎖付費內容的內容。” “這是一個模型“通過淫穢的安全”,他們永遠不會相信人們會手動連接這些API之間的點。
卡里米(Karimi)強調,領先的連續流服務在很大程度上是鎖定的,要么糾正此類API誤解,要么從一開始就避免了它們。但他強調,最有用的企業流量和其他現場活動的平台總是在體育競技場和其他旨在僅在有時可以訪問的地方進行的攝像機 – 可能很容易受到傷害,並且視頻報告被認為是受保護的。
