Eine Fehlkonfiguration, die Unternehmens-Streaming-Plattformen heimsucht, könnte sensible Daten offenlegen

Top-Streaming-Dienste wieNetflix und Disney+ haben über die Jahre hinweg kontinuierlich in die Sicherung ihrer Inhalte investiert. Wann immer möglich, verhindern sie, dass Nutzer ohne Abonnement auf Videos zugreifen oder regional gesperrte Inhalte ansehen können. Neue Erkenntnisse, die heute auf der Sicherheitskonferenz Defcon in Las Vegas vorgestellt wurden, deuten jedoch darauf hin, dass Streaming-Plattformen, die beispielsweise für interne Unternehmensübertragungen und Sport-Livestreams genutzt werden, grundlegende Designfehler aufweisen können, die es jedem ermöglichen, ohne Anmeldung auf eine Vielzahl von Inhalten zuzugreifen.

Der unabhängige Forscher Farzan Karimi erkannte bereits vor Jahren, dass Fehlkonfigurationen in Anwendungsprogrammierschnittstellen (APIs) Streaming-Inhalte unberechtigtem Zugriff aussetzen. Im Jahr 2020 offenbarte er Vimeo eine Reihe solcher Schwachstellen, die ihm den Zugriff auf fast 2.000 interne Unternehmensmeetings und andere Livestreams ermöglicht hätten. Das Unternehmen behob das Problem damals zwar rasch, doch die Entdeckung weckte bei Karimi die Befürchtung, dass ähnliche Probleme auch auf anderen Plattformen lauern könnten.

Jahre später erkannte er, dass er durch die Verfeinerung einer Technik zur Abbildung der Datenabfrage und Interaktion von APIs nach weiteren anfälligen Plattformen suchen konnte. Auf der Defcon präsentierte Karimi Erkenntnisse zu aktuellen Schwachstellen auf einer Mainstream-Sport-Streaming-Plattform – er nennt den Namen der Site nicht, da die Probleme noch nicht behoben sind – und veröffentlichte ein Tool, das anderen helfen soll, das Problem auf weiteren Sites zu identifizieren.

„Bei einer Mitarbeiterversammlung oder anderen sensiblen Meetings können wichtige interne Informationen ausgetauscht werden – CEOs oder andere Führungskräfte sprechen über Entlassungen oder sensibles geistiges Eigentum“, sagte Karimi vor seinem Konferenzvortrag gegenüber WIRED. „Man erkennt ein schlechtes Muster darin, wie leicht man die Authentifizierung für den Zugriff auf Streams umgehen kann. Bisher wurde diese Art von Problem jedoch mit der Begründung abgetan, dass man zur Identifizierung tiefe Kenntnisse des jeweiligen Unternehmens brauche.“

APIs sind Dienste, die Daten abrufen und an jeden zurückgeben, der sie anfordert. Karimi nennt als Beispiel: Sie können auf einer Streaming-Plattform nach dem Film Fight Club suchen, und der Stream des Films kann Informationen über die Länge des Films, Trailer, Schauspieler im Film und andere Metadaten zurückgeben. Mehrere APIs arbeiten zusammen, um all diese Informationen zusammenzutragen, wobei jede bestimmte Art von Daten abruft. Wenn Sie beispielsweise nach Brad Pitt suchen, interagieren eine Reihe von APIs, um Fight Club zusammen mit anderen Filmen, in denen er mitgespielt hat, wie Troja und Sieben, anzuzeigen. Einige dieser APIs sind so konzipiert, dass sie einen Authentifizierungsnachweis erfordern, bevor sie Ergebnisse zurückgeben. Wenn ein System jedoch nicht gründlich geprüft wurde, ist es üblich, dass andere APIs blind Daten zurückgeben, ohne einen Autorisierungsnachweis zu verlangen, in der Annahme, dass nur ein authentifizierter Anforderer in der Lage sein wird, Anfragen zu senden.

„Oft gibt es im Grunde vier, fünf oder eine beliebige Anzahl von APIs, die all diese Metadaten enthalten. Wenn man weiß, wie man sie durchsucht, kann man kostenpflichtige Inhalte kostenlos freischalten“, sagt Karimi. „Es handelt sich um ein ‚Sicherheit durch Unklarheit‘-Modell, bei dem man nie auf die Idee kommen würde, dass jemand die Verbindungen zwischen diesen APIs manuell herstellen könnte. Die Automatisierung, die ich einführe, hilft jedoch, diese Autorisierungsfehler schnell und in großem Umfang zu finden.“

Karimi betont, dass die führenden Streaming-Dienste weitgehend abgeschottet seien und solche API-Fehlkonfigurationen entweder schon vor langer Zeit korrigiert oder von vornherein vermieden hätten. Er betont jedoch, dass eher zweckgebundene Plattformen für Unternehmens-Streaming und andere Live-Events – darunter ständig eingeschaltete Kameras in Sportarenen und anderen Veranstaltungsorten, die nur zu bestimmten Zeiten zugänglich sein sollen – wahrscheinlich anfällig seien und vermeintlich geschützte Videos offenlegen würden.