Os principais serviços de streaming, como Netflix e Disney+, têm feito investimentos contínuos ao longo dos anos para proteger seu conteúdo.
Sempre que possível, eles impedem que usuários assistam a vídeos sem uma assinatura ou acessem conteúdo bloqueado por região.
No entanto, novas descobertas apresentadas hoje na conferência de segurança Defcon, em Las Vegas, indicam que plataformas de streaming usadas para transmissões corporativas internas e livestreams esportivos podem conter falhas básicas de design que permitem a qualquer pessoa acessar uma grande quantidade de conteúdo sem precisar fazer login.
O pesquisador independente Farzan Karimi percebeu anos atrás que configurações incorretas em Application Programming Interfaces, ou APIs, expunham conteúdos de streaming a acessos não autorizados.
Em 2020, ele divulgou um conjunto dessas falhas para o Vimeo, que poderiam ter permitido o acesso a aproximadamente 2.000 reuniões internas da empresa, além de outros tipos de livestreams.
Na época, a empresa corrigiu o problema rapidamente, mas a descoberta deixou Karimi preocupado com a possibilidade de problemas semelhantes estarem presentes em outras plataformas.
Anos depois, ele percebeu que, ao aprimorar uma técnica para mapear como as APIs recuperam dados e interagem, poderia buscar outras plataformas vulneráveis.
Na Defcon, Karimi está apresentando descobertas sobre exposições atuais em uma plataforma de streaming esportivo bastante popular — cujo nome ele não revela porque as falhas ainda não foram corrigidas — e lançando uma ferramenta para ajudar outras pessoas a identificar o problema em diferentes sites.
“Em reuniões corporativas importantes, como all hands meetings ou outras reuniões sensíveis, podem ser compartilhadas informações internas cruciais — CEOs ou outros executivos falando sobre demissões ou propriedade intelectual sensível”, contou Karimi antes de sua palestra na conferência.
Você pode perceber um padrão ruim em como é fácil contornar a autenticação para acessar streams, mas esta classe de problema era anteriormente descartada por exigir conhecimento profundo do negócio para ser identificada.
As APIs são serviços que buscam e retornam dados para quem faz a solicitação.
Karimi explica que, por exemplo, você pode buscar pelo filme Fight Club em uma plataforma de streaming, e o stream do filme pode vir acompanhado de informações sobre a duração, trailers, elenco e outros metadados.
Múltiplas APIs trabalham juntas para montar todas essas informações, cada uma buscando um tipo de dado específico.
Similarmente, se você busca por Brad Pitt, um conjunto de APIs interage para entregar Fight Club, além de outros filmes dele, como Troy e Seven.
Algumas dessas APIs são projetadas para exigir prova de autenticação antes de retornarem resultados, mas, se um sistema não foi analisado com profundidade, é comum que outras APIs retornem dados automaticamente sem exigir autorização, assumindo que apenas um solicitante autenticado estará apto a enviar as requisições.
“Muitas vezes existem basicamente quatro, cinco, ou algum número de APIs que possuem todos esses metadados, e se você souber como rastreá-las, pode desbloquear conteúdo pago gratuitamente”, explica Karimi.
É um modelo de ‘security through obscurity’, em que eles nunca imaginariam que alguém seria capaz de conectar manualmente os pontos entre essas APIs.
A automação que estou apresentando, porém, ajuda a encontrar essas falhas de autorização rapidamente e em escala.
Karimi reforça que os principais serviços de streaming estão amplamente protegidos, tendo corrigido essas configurações incorretas em APIs há muito tempo ou mesmo evitado tais problemas desde o início.
Mas ele destaca que plataformas mais utilitárias, voltadas para streaming corporativo e eventos ao vivo, incluindo câmeras sempre ligadas em arenas esportivas e outros locais que deveriam estar acessíveis apenas em horários específicos, provavelmente são vulneráveis e acabam expondo vídeos que deveriam estar protegidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...