Vulnerabilidad en GoPro expone el usuario y password de los usuarios

Por Noticias0

gopro-wireless-password-hack.jpg

GoPro, el fabricante de las populares cámaras de alta definición, tiene la vulnerabilidad en su web oficial que expone los nombres de usuario y contraseñas de miles de clientes de su red inalámbrica.
GoPro ofrece una aplicación móvil para sus usuarios que le da un control remoto completo de todas las funciones de la cámara – tomar una foto, iniciar / detener la grabación y ajustar la configuración.
Es necesario conectar a la red inalámbrica operada por su cámara y la aplicación GoPro le da acceso instantáneo al Canal GoPro a ver fotografías y reproducir vídeos, y luego compartir sus fotos o videos favoritos por correo electrónico, Facebook, Twitter y más.
El investigador de seguridad Ilya Chernyakov informó que el mecanismo de actualización de la cámara podría exponer su nombre de usuario y la contraseña inalámbrica.
Chernyakov se decidió a recuperar la contraseña de la GoPro mediante la actualización del firmware de la cámara de forma manual, como se menciona en el sitio web de GoPro.
Con el fin de obtener los archivos de actualización de la cámara, hay que seguir las instrucciones disponibles en el sitio web. “Es un procedimiento bastante simple, con “Siguiente -> Siguiente -> Finalizar” que termina con un enlace a un archivo zip
Al descargar este archivo, se obtiene un archivo que se supone que debes copiar a una tarjeta SD, ponerlo en su GoPro y reiniciar la cámara”, explicó Chernyakov.

Cuando abrió el archivo archivo rar, se encontró un archivo llamado “settings.in”, que contenía los ajustes deseados de la cámara, incluyendo el nombre de su red inalámbrica y la contraseña en texto plano.
El problema radica en que al descargar el archivo nos muestra una url de la siguiente manera:
http://xxxxxxxxxxxxx/firmware_bundle/8605145/UPDATE.zip donde el número 8605145 representa una especie de número de serie, que al ser reemplazado por otro, podemos bajar los datos de dicho número de serie, con su respectivo usuario y password.

Chernyakov escribió un script en Python para descargar automáticamente el archivo para todos los números posibles de la misma serie y recaudó más de miles de nombres de usuario y contraseñas inalámbricas, que pertenece a los clientes GoPro, incluso la de él mismo.
Chernyakov informó la vulnerabilidad a la empresa, pero no han recibido noticias de ellos.

Imagen y traducción

Comenta

Tu Email no será publicado. Campos requeridos *