- Streaming-Dienste investieren kontinuierlich in den Schutz ihrer Inhalte, kämpfen jedoch mit grundlegenden Designfehlern in ihren Plattformen. Sicherheitslücken in APIs erlauben es Unbefugten, auf geschützte Inhalte zuzugreifen, wie von Forscher Farzan Karimi aufgedeckt. Karimi zeigte 2020 Sicherheitsmängel bei Vimeo und vermutet ähnliche Schwächen bei anderen Anbietern. APIs setzen oft auf „Security through Obscurity“, was zu ungewollter Freigabe von Inhalten führen kann. Die Nutzung von Streaming-Plattformen für Unternehmens- und Live-Events birgt trotz Verbesserungen weiterhin Risiken.
Die namhaften Streaming-Dienste investieren fortwährend in den Schutz ihrer Inhalte. So versuchen sie, Nutzer daran zu hindern, Videos ohne Abonnement oder aus gesperrten Regionen anzusehen. Doch aktuelle Erkenntnisse, vorgestellt auf einer Sicherheitskonferenz in Las Vegas, offenbaren grundlegende Designfehler bei Streaming-Plattformen, die beispielsweise für interne Unternehmensübertragungen oder Sport-Livestreams genutzt werden. Diese Schwachstellen ermöglichen es Unbefugten, auf zahlreiches Material zuzugreifen, ohne sich anmelden zu müssen. Der unabhängige Forscher Farzan Karimi stellte bereits vor Jahren fest, dass Fehlkonfigurationen in APIs Zugang zu geschützten Inhalten erlaubten.
Schwachstellen in Streaming-APIs
Im Jahr 2020 deckte Karimi beispielsweise Sicherheitslücken bei Vimeo auf, die Zugang zu fast 2.000 internen Besprechungen sowie anderen Livestreams ermöglichten. Diese Problematik wurde zügig behoben, doch der Vorfall ließ Karimi besorgt zurück. Er vermutete ähnliche Schwächen auf anderen Plattformen. Durch die Verfeinerung einer Technik, die zeigt, wie APIs Daten abrufen und interagieren, konnte Karimi potenziell anfällige Plattformen identifizieren. Auf der Defcon-Konferenz präsentiert er Erkenntnisse zu einer Sport-Streaming-Plattform, deren Name er nicht nennt, da die Probleme noch ungelöst sind. Zudem stellt er ein Werkzeug zur Verfügung, das anderen helfen soll, ähnliche Schwachstellen zu erkennen.
API-Design und unentdeckte Sicherheitslücken
APIs sind darauf ausgelegt, Datenanfragen zu verarbeiten und zurückzugeben. Karimi erklärt, dass in vielen Fällen mehrere APIs zusammenarbeiten, um Informationen bereitzustellen. Während einige APIs Authentifizierung voraussetzen, geben andere Daten ohne die erforderliche Berechtigung frei. Diese Praxis, die auf „Security through Obscurity“ setzt, beruht auf der Annahme, dass nur authentifizierte Nutzer Anfragen stellen. Doch Karimi zeigt, dass durch das Rückverfolgen dieser APIs kostenpflichtige Inhalte kostenlos zugänglich gemacht werden können. Auch wenn führende Streaming-Dienste derartige API-Fehlkonfigurationen beseitigt haben, birgt die Nutzung von Streaming-Plattformen für Unternehmens- und Live-Events weiterhin Risiken.
Karimi warnt davor, dass Kameras in Sportarenen und anderen Veranstaltungsorten, die nur zu bestimmten Zeiten zugänglich sein sollten, wahrscheinlich Schwächen aufweisen. Diese könnten dazu führen, dass vermeintlich geschützte Videos öffentlich zugänglich sind.
