Риск потери конфиденциальных данных (и дальнейших последствий этого) более или менее известен пользователям. Однако иногда утечка может произойти из места, о которым Вы и не подозревали. Wi-Fi, который встроен в большое число современных устройств, может стать проблемой. Согласно net-security.org, такое слабое место возникло и в камерах GoPro.
Уязвимость в механизме обновления пароля беспроводных сетей, используемых GoPro, позволила исследователям безопасности легко получить доступ к учетным данным более чем 1000 пользователей (в том числе их собственным). Ведь этими камерами можно просто и удобно управлять с посредством приложения, установленного в смартфоне или планшете! Но для того, чтобы сделать это, пользователь должен подключиться к Wi-Fi сети GoPro.
Данный изъян обнаружил и опубликовал в своем блоге израильский эксперт по информационной безопасности Илья Черняков, который написал:
Для того, чтобы сбросить настройки Wi-Fi, Вы должны следовать инструкциям на сайте GoPro. Это довольно простая процедура, Далее -> Далее -> Готово. В конечном итоге получается ссылка на zip-файл. После его загрузки вы получите архив, который необходимо скопировать в SD-карту, вставить её в GoPro и перезагрузить камеру.
Проблема заключается в том, что получаемая ссылка для скачивания имеет следующий вид (пример):
http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip
Цифры ближе к концу – это идентификационный номер камеры, и этот номер может быть легко изменён для получения доступа к архивам других камер. В свою очередь, эти архивы, разумеется, содержат логины и пароли. Чтобы подтвердить эту уязвимость (и только с этой целью), Черняков протестировал атаку с помощью скрипта Python, скачав тысячи таких архивов, и составив список Wi-Fi логинов и паролей.
Ну и что, скажете Вы? Почему это важно для пользователей GoPro? Действительно, много ли людей будут вертеться в непосредственной близости около дайвера, кайтера, сноубордиста? И только для того, чтобы получить управление его камерой!
Однако, не всё так просто. Ни для кого не секрет, что многие люди используют одни и те же пароли для большого числа (если не большинства), различных веб-сайтов, приложений, электронной почты и прочих онлайн-сервисов. Потому целью злоумышленников может быть вовсе не атака на камеры.
Компания GoPro была уведомлена об этой проблеме, и исправления, как ожидается, будут сделаны в ближайшее время.
А нашим читателям я могу настоятельно порекомендовать незамедлительно сменить пароль Wi-Fi сети Вашей GoPro. И новый пароль не должен совпадать с любым из используемых в других сервисах.