Duża wpadka FIFA. Każdy mógł podmienić transmisję z mundialu

Wielu fanów piłki nożnej skupionych jest na trwających w Ameryce Północnej Mistrzostwach Świata. Rozgrywki, które rozpoczęły się w drugim tygodniu czerwca, po raz pierwszy odbywają się w trzech krajach, zaś udział w nich bierze 48 zespołów. Zwycięzcę poznamy w trzecim tygodniu lipca.

Portal sprawdzał uprawnienia... ale nie do końca

Tymczasem nawet takich imprez jak mundial nie omijają incydenty z zakresu cyberbezpieczeństwa. Badaczka posługująca się nickiem BobDaHacker ujawniła, że uzyskała dostęp do platformy FIFA poświęconej trwającemu turniejowi. W efekcie mogła zarządzać nie tylko informacjami o meczach, ale też transmisjami z każdego spotkania.

Wszystko zaczęło się od rejestracji badaczki na FIFA Agent Platform – czyli serwisie, dzięki któremu można uzyskać licencję agenta. Na pierwszy rzut oka rejestracja nie zwiastowała niczego nadzwyczajnego. Jednak oprócz stworzenia konta, było ono automatycznie dodawane do systemu zarządzania chmurą Microsoft Entra, które obsługuje wszystkie platformy międzynarodowej organizacji piłkarskiej.

Następnie badaczka spróbowała zalogować się na FIFA Football Data Platform – platformie ze wszystkimi ważnymi informacjami sportowymi organizacji. Za pierwszym razem nie udało się to, ponieważ system nie stwierdził odpowiednich uprawnień na koncie. Okazało się jednak, że sprawdzenie odbywa się po stronie przeglądarki, a nie serwera – wystarczyło zmienić wartość JWT „NO_ROLES”, aby problem zniknął.

„Interfejsy API niczego nie sprawdzały” – czytamy we wpisie BobDaHacker na blogu.

Każdy mógł podmienić transmisję z mundialu

Po ominięciu zabezpieczeń, badaczka cyberbezpieczeństwa trafiła do panelu zarządzania transmisjami z meczów Mistrzostw Świata. Nie było jednak mowy o „ukrytym serwisie do testów”, tylko o aktywnym środowisku umożliwiającym zarządzanie tym, co widzą setki milionów widzów sportowego święta na całej kuli ziemskiej.

W przypadku każdego meczu było dostępnych pięć kategorii sygnału, które za pomocą adresu RTMP przekazywały obraz do partnera technologicznego transmisji FIFA, MediaKind. Ten z kolei dostarczał obraz wszystkim nadawcom MŚ. Problem polegał na tym, że klucz transmisji był wspólny dla wszystkich sygnałów z danego meczu – w tym głównej transmisji PGM (Program) – i umieszczony we wspomnianym adresie RTMP. Oznacza to, że osoba nieuprawniona mogła zmienić transmisję ze stadionu na cokolwiek – np. materiał pornograficzny, shock video, czy jedną z produkcji animowanych dla dorosłych. Istniała także możliwość przerwania transmisji z meczu jednym kliknięciem myszki.

„Gdyby atakujący zaczął transmitować swoje wideo do jednego z tych adresów RTMP przy użyciu klucza transmisji, podmieniłby transmisję ze stadionu. Wystarczyło zastąpić sygnał PGM, a każda stacja telewizyjna odbierająca sygnał FIFA wyświetliłaby to, co zostało przesłane. Atakujący mógł zrickrollować Mistrzostwa Świata w Piłce Nożnej” – zaznaczyła BobDaHacker.

Konto, które uzyskało dostęp z ominięciem zabezpieczenia miało również dostęp do panelu zarządzania meczami. W ten sposób możliwa była edycja szczegółów spotkania (włącznie z godziną pierwszego gwizdka i wynikami), zmiana składów, a także modyfikacja informacji i ciekawostek wysyłanych komentatorom w ramach Commentator Information System. Potencjalny atakujący mógł na żywo sprawdzić czy wszystko idzie „zgodnie z planem”, ponieważ miał dostęp do podglądu systemu CIS dla danego meczu.

Zgłoszenie przez agencje, bo FIFA nie odpowiada

Badaczka postanowiła zgłosić podatność do organizacji związanych z mundialem. Pięć prób kontaktu z FIFA zakończyło się niepowodzeniem; podobnie stało się w przypadku Host Broadcast Services – spółką zajmującą się dostarczaniem sygnału z wydarzeń sportowych – oraz firmie-matce, Infront Sports & Media.

Dopiero telefony do MediaKind, Agencji Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (która odpowiada za cyberbezpieczeństwo podczas MŚ) oraz Federalnego Biura Śledczego odniosły skutek. FIFA załatała podatność w ciągu kilku godzin – najprawdopodobniej w wyniku sygnałów otrzymanych z trzech wspomnianych źródeł – lecz ani razu nie zabrała głosu w sprawie.

BobDaHacker nadal jednak otrzymuje maile z dokumentami meczowymi z Football Data Platform. Zaapelowała do FIFA o stworzenie programu bug bounty (ponieważ takowego nie posiada) oraz publikację Vulnerability Disclosure Policy (polityki zgłaszania podatności).

„Jeśli badacz musi dzwonić do CISA i FBI, żeby się z wami skontaktować, to coś jest nie tak” – zaznaczyła, sugerując przy tym, że „w którymś ze światów równoległych” miliardy ludzi zamiast meczu MŚ oglądają transmisję z gry wideo.