安全研究员Farzan Karimi近期发现,大量企业级直播平台存在API配置缺陷,可能导致未经授权的用户能够访问内部会议及其他敏感视频内容。他在拉斯维加斯Defcon安全大会上介绍称,这类平台为公司现场直播、体育赛事等活动提供流媒体服务,但有些API设计不足,允许绕过身份验证直接获取大量内容。
Karimi通过分析API如何检索数据,发现不仅公开流服务存在风险,部分本应受保护的企业会议也有外泄的隐患。他曾在2020年向Vimeo报告类似漏洞,后者已及时修复,但Karimi认为还有其他平台存在同类问题。为协助业界发现风险,他已发布相关工具,帮助技术人员检测API授权缺陷。
报道强调,主流消费类流媒体服务如Netflix、Disney+等较早修补了此类漏洞,而更多面向企业直播、体育场馆等“实用性”平台尚需关注安全问题。相关内容请参考来源