Os principais serviços de streaming, como o Netflix e a Disney+, têm feito investimentos contínuos ao longo dos anos para proteger seu conteúdo. No entanto, novas descobertas apresentadas hoje na conferência de segurança Defcon em Las Vegas indicam que plataformas de streaming usadas para transmissões corporativas internas e transmissões ao vivo de eventos esportivos podem conter falhas de design básicas que permitem que qualquer pessoa acesse uma ampla gama de conteúdo sem a necessidade de fazer login.
O pesquisador independente Farzan Karimi percebeu há anos que configurações incorretas nas interfaces de programação de aplicativos, ou APIs, expunham o conteúdo de streaming a acessos não autorizados. Em 2020, ele divulgou um conjunto de falhas semelhantes para a Vimeo, que poderiam tê-lo permitido acessar quase 2.000 reuniões internas de empresas, juntamente com outros tipos de transmissões ao vivo. A empresa corrigiu rapidamente o problema na época, mas a descoberta deixou Karimi preocupado que problemas semelhantes poderiam estar presentes em outras plataformas.
Anos depois, ele percebeu que, ao refinar uma técnica para mapear como as APIs recuperam dados e interagem, poderia procurar outras plataformas vulneráveis. Na Defcon, Karimi está apresentando descobertas sobre exposições atuais em uma plataforma de streaming esportivo mainstream – ele não está nomeando o site porque as questões ainda não foram resolvidas – e lançando uma ferramenta para ajudar outros a identificar o problema em sites adicionais.
“Para uma reunião corporativa interna ou outra reunião sensível, pode haver informações internas chave sendo compartilhadas – CEOs ou outros executivos falando sobre demissões ou propriedade intelectual sensível”, disse Karimi à WIRED antes de sua palestra na conferência. “Você consegue ver um padrão ruim surgir na facilidade com que se pode contornar a autenticação para acessar as transmissões, mas essa classe de problema costumava ser ignorada como exigindo um profundo conhecimento de um determinado negócio para ser identificada.”
As APIs são serviços que buscam e retornam dados para quem os solicita. Karimi dá o exemplo de que você pode procurar o filme “Clube da Luta” em uma plataforma de streaming, e a transmissão do filme pode retornar com informações sobre o comprimento do filme, trailers, atores do filme e outros metadados. Múltiplas APIs trabalham juntas para montar todas essas informações, com cada uma buscando tipos específicos de dados. Da mesma forma, se você pesquisar por Brad Pitt, um conjunto de APIs interagirá para entregar “Clube da Luta” juntamente com outros filmes em que ele atuou, como “Tróia” e “Seven”. Algumas dessas APIs são projetadas para exigir prova de autenticação antes de retornar resultados, mas se um sistema não foi examinado profundamente, é comum que outras APIs retornem dados sem exigir prova de autorização, partindo do pressuposto de que apenas um solicitante autenticado estará em posição de enviar consultas.
“Muitas vezes existem basicamente quatro, cinco, algum número de APIs que possuem todos esses metadados, e se você souber como rastreá-los, pode desbloquear conteúdo bloqueado por pagamento de forma gratuita”, diz Karimi. “É um modelo de ‘segurança pela obscuridade’ onde eles nunca pensariam que alguém seria capaz de conectar manualmente os pontos entre essas APIs. A automação que estou introduzindo, no entanto, ajuda a encontrar essas falhas de autorização rapidamente em escala.”
Karimi enfatiza que os principais serviços de streaming estão em grande parte seguros e corrigiram as configurações incorretas de APIs há muito tempo ou as evitaram desde o início. No entanto, ele ressalta que plataformas mais utilitárias para streaming corporativo e outros eventos ao vivo – incluindo câmeras sempre ativas em arenas esportivas e outros locais que devem ser acessíveis apenas em determinados momentos – provavelmente são vulneráveis, expondo vídeos que se pensava estarem protegidos.
