اختر منطقتك 
حالة الطقس 
أفضل خدمات البث مثل Netflix و Disney+ قاموا باستثمارات مستمرة على مر السنين لقفل محتواها. كلما أمكنهم ذلك ، فإنهم يمنعون المستخدمين من الوصول إلى مقاطع الفيديو دون اشتراك أو مشاهدة محتوى مملوء بالمنطقة. تشير النتائج الجديدة التي تم تقديمها اليوم في مؤتمر Defcon Security في لاس فيجاس ، إلى أن منصات البث المستخدمة في أشياء مثل عمليات البث الداخلية للشركات والبث المباشر الرياضي يمكن أن تحتوي على عيوب تصميم أساسية تسمح لأي شخص بالوصول إلى مجموعة واسعة من المحتوى دون تسجيل الدخول.
أدرك الباحث المستقل فرزان كريمي لأول مرة منذ سنوات أن عمليات التمييز الخاطئة في واجهات برمجة التطبيقات ، أو واجهات برمجة التطبيقات ، مكشوفة محتوى البث للوصول غير المصرح به. في عام 2020 ، كشف عن مجموعة من هذه العيوب إلى Vimeo التي يمكن أن تسمح له بالوصول إلى ما يقرب من 2000 اجتماع داخلي للشركة إلى جانب أنواع أخرى من البث المباشر. سرعان ما حددت الشركة المشكلة في ذلك الوقت ، لكن النتيجة تركت كريمي مع مخاوف من أن مشاكل مماثلة يمكن أن تتربص في منصات أخرى.
بعد سنوات ، أدرك أنه من خلال تحسين تقنية لتخطيط كيفية استرداد واجهات برمجة التطبيقات للبيانات والتفاعل ، يمكنه البحث عن منصات أخرى ضعيفة. في Defcon ، يقدم Karimi نتائج حول التعرض الحالي في منصة تدفق الرياضة السائدة – إنه لا يسمي الموقع لأن المشكلات لم يتم حلها بعد – وإطلاق أداة لمساعدة الآخرين على تحديد المشكلة في مواقع إضافية.
وقال كريمي لـ Wired قبل حديثه: “بالنسبة إلى الشركة ، قد يتم مشاركة جميع الأيدي أو اجتماعات حساسة أخرى ، قد تكون هناك معلومات داخلية رئيسية – CEOs أو غيرهم من المديرين التنفيذيين يتحدثون عن تسريح العمال أو الملكية الفكرية الحساسة”. “يمكنك أن ترى نمطًا سيئًا يظهر في مدى سهولة التحايل على المصادقة للوصول إلى التدفقات ، ولكن تم رفض هذه الفئة من القضايا من قبل على أنها تتطلب معرفة عميقة لشركة معينة لتحديدها.”
واجهات برمجة التطبيقات هي الخدمات التي تجلب البيانات وإرجاعها إلى من يطلبها. يعطي Karimi مثالًا على أنه يمكنك البحث عن الفيلم نادي القتال على منصة بث ، وقد يعود الدفق للفيلم بمعلومات حول طول الفيلم والمقطورات والممثلين في الفيلم ، وغيرها من البيانات الوصفية. تعمل واجهات برمجة التطبيقات المتعددة معًا لتجميع كل هذه المعلومات مع كل أنواع معينة من البيانات. وبالمثل ، إذا بحثت عن براد بيت ، ستتفاعل مجموعة من واجهات برمجة التطبيقات لتوصيلها نادي القتال جنبا إلى جنب مع أفلام أخرى قام ببطولة مثل تروي و سبعة. تم تصميم بعض من واجهات برمجة التطبيقات هذه لتتطلب إثباتًا للمصادقة قبل أن يعيدوا نتائج ، ولكن إذا لم يتم فحص النظام بعمق ، فمن الشائع أن يعيد واجهات برمجة التطبيقات الأخرى البيانات بشكل أعمى دون الحاجة إلى دليل على افتراض أن المطلب المصدق فقط سيكون في وضع يسمح له بإرسال استعلامات.
يقول كريمي: “غالبًا ما يكون هناك أربعة أو خمسة أو عدد من واجهات برمجة التطبيقات التي تحتوي على كل هذه البيانات الوصفية ، وإذا كنت تعرف كيفية تتبعها ، فيمكنك فتح محتوى paywalled مجانًا”. “إنه نموذج” من خلال الغموض “حيث لا يعتقدون أبدًا أن شخصًا ما سيكون قادرًا على توصيل النقاط يدويًا بين واجهات برمجة التطبيقات هذه. الأتمتة التي أقدمها ، على الرغم من ذلك ، تساعد في العثور على عيوب التفويض هذه بسرعة على نطاق واسع.”
يؤكد Karimi على أن خدمات البث الأعلى مغلقة إلى حد كبير وإما تصحيح هذه الأدوات الخاطئة API منذ فترة طويلة أو تجنبها من البداية. لكنه يؤكد على أن المزيد من المنصات النفعية لتدفق الشركات وغيرها من الأحداث الحية-بما في ذلك الكاميرات التي تعمل دائمًا في الساحات الرياضية وغيرها من الأماكن التي من المفترض أن تكون متاحة فقط في أوقات معينة-من المحتمل أن تكون عرضة للفيديو ويعتقد أنه محمي.
