流行运动相机GoPro官网可遍历明文存储的用户账号和密码

GoPro是目前全球最流行的运动相机品牌,现今已成为极限运动专用相机的代名词。近日安全研究员在GoPro官网上发现了一个安全漏洞,可导致大量用户的用户名和密码泄露。

GoPro简介

GoPro因其小型便携的相机而闻名。用户经常会在山地自行车、滑雪、冲浪等极限运动中,所以它才成为了极限运动专用相机的代名词。GoPro还开发了一个移动应用程序,用户可以通过app远程控制GoPro相机,甚至还可以自动上传照片至社交媒体上。

GoPro是目前全球最流行的运动相机品牌,始创于2002年,在冲浪、滑雪、跳伞等户外运动市场有着非常良好的表现以及口碑。据悉仅在2014年第一季度,YouTube上面和GoPro有关的短片浏览量就超过10亿次。

漏洞详情

Ilya Chernyakov是来自以色列的安全研究员,他借朋友的GoPro相机偶然间发现了这一漏洞。他的朋友忘记了GoPro密码,Chernyakov试图通过官网手动更新固件(网站上会有指导)重新获取密码。但当下载必要的压缩文件时,他发现了一个名为“settings.in”的文件,里面以明文的方式给出了他的无线名和密码。

GoPro网站并未使用任何形式的认证机制,事实上,只要改变网站上文件的URL字符就可获得其他用户的信息。Chernyakov写了一个Python脚本,该脚本可以自动下载所有可能的字符组合文件,搜集成千上万的无线用户名和密码。

他已经把这一漏洞的详情报告给了GoPro公司,但是GoPro官方并未给出回应。

[参考来源www.miltonstart.com,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

Leave a Comment