Os principais serviços de streaming, como Netflix e Disney+, investiram continuamente ao longo dos anos para proteger seu conteúdo. Sempre que podem, evitam que os usuários acessem vídeos sem uma assinatura ou assistam a conteúdos bloqueados por região. Novas descobertas apresentadas hoje na conferência de segurança Defcon em Las Vegas, no entanto, indicam que plataformas de streaming usadas para coisas como transmissões corporativas internas e transmissões esportivas podem conter falhas de design básicas que permitem que qualquer pessoa acesse uma vasta gama de conteúdo sem fazer login.
O pesquisador independente Farzan Karimi percebeu anos atrás que configurações incorretas em interfaces de programação de aplicativos, ou APIs, expunham conteúdo de streaming ao acesso não autorizado. Em 2020, ele divulgou um conjunto de tais falhas para o Vimeo que poderia ter permitido que ele acessasse cerca de 2.000 reuniões internas de empresas, além de outros tipos de transmissões ao vivo. A empresa corrigiu rapidamente o problema na época, mas a descoberta deixou Karimi preocupado que problemas semelhantes pudessem estar escondidos em outras plataformas.
Anos depois, ele percebeu que, ao refinar uma técnica para mapear como as APIs recuperam dados e interagem, poderia procurar outras plataformas vulneráveis. Na Defcon, Karimi está apresentando descobertas sobre exposições atuais em uma plataforma de streaming esportivo mainstream—ele não está nomeando o site porque os problemas ainda não foram resolvidos—e lançando uma ferramenta para ajudar outros a identificar o problema em outros sites.
“Para uma reunião geral da empresa ou outra reunião sensível, pode haver informações internas importantes sendo compartilhadas—CEOs ou outros executivos falando sobre demissões ou propriedade intelectual sensível,” Karimi disse à WIRED antes de sua palestra na conferência. “Você pode ver um padrão ruim emergir na facilidade com que pode contornar a autenticação para acessar transmissões, mas essa classe de problema foi anteriormente desconsiderada como exigindo um conhecimento profundo de um determinado negócio para ser identificada.”
APIs são serviços que buscam e retornam dados para quem os solicita. Karimi dá o exemplo de que você pode pesquisar o filme Clube da Luta em uma plataforma de streaming, e o stream do filme pode retornar informações sobre a duração do filme, trailers, atores do filme e outros metadados. Múltiplas APIs trabalham juntas para montar todas essas informações com cada uma buscando certos tipos de dados. Da mesma forma, se você pesquisar por Brad Pitt, um conjunto de APIs interagirá para entregar Clube da Luta junto com outros filmes em que ele atuou, como Troia e Sete. Algumas dessas APIs são projetadas para exigir prova de autenticação antes que retornem resultados, mas se um sistema não for examinado profundamente, é comum que outras APIs retornem dados cegamente sem exigir prova de autorização na suposição de que apenas um solicitante autenticado estará em posição de enviar consultas.
“Frequentemente, há basicamente quatro, cinco, algum número de APIs que têm todos esses metadados, e se você souber como rastreá-los, poderá desbloquear conteúdo pago gratuitamente,” diz Karimi. “É um modelo de ‘segurança pela obscuridade’ onde eles nunca pensariam que alguém seria capaz de conectar manualmente os pontos entre essas APIs. A automação que estou introduzindo, no entanto, ajuda a encontrar essas falhas de autorização rapidamente em escala.”
Karimi enfatiza que os principais serviços de streaming estão em grande parte bloqueados e corrigiram essas configurações incorretas de API há muito tempo ou as evitaram desde o início. Mas ele enfatiza que plataformas mais utilitárias para streaming corporativo e outros eventos ao vivo—including câmeras sempre ligadas em arenas esportivas e outros locais que devem ser acessíveis apenas em determinados momentos—são provavelmente vulneráveis e expondo vídeos que se pensava estarem protegidos.