Изъян в Wi-Fi сети GoPro дает доступ к паролям

hero4-black-wifi-bluetoothРиск потери конфиденциальных данных (и дальнейших последствий этого) более или менее известен пользователям. Однако иногда утечка может произойти из места, о которым Вы и не подозревали. Wi-Fi, который встроен в большое число современных устройств, может стать проблемой. Согласно net-security.org, такое слабое место возникло и в камерах GoPro.

Уязвимость в механизме обновления пароля беспроводных сетей, используемых GoPro, позволила исследователям безопасности легко получить доступ к учетным данным более чем 1000 пользователей (в том числе их собственным). Ведь этими камерами можно просто и удобно управлять с посредством приложения, установленного в смартфоне или планшете! Но для того, чтобы сделать это, пользователь должен подключиться к Wi-Fi сети GoPro.

GoProApp

Данный изъян обнаружил и опубликовал в своем блоге израильский эксперт по информационной безопасности Илья Черняков, который написал:

Для того, чтобы сбросить настройки Wi-Fi, Вы должны следовать инструкциям на сайте GoPro. Это довольно простая процедура, Далее -> Далее -> Готово. В конечном итоге получается ссылка на zip-файл. После его загрузки вы получите архив, который необходимо скопировать в SD-карту, вставить её в GoPro и перезагрузить камеру.

Проблема заключается в том, что получаемая ссылка для скачивания имеет следующий вид (пример):

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Цифры ближе к концу — это идентификационный номер камеры, и этот номер может быть легко изменён для получения доступа к архивам других камер. В свою очередь, эти архивы, разумеется, содержат логины и пароли. Чтобы подтвердить эту уязвимость (и только с этой целью), Черняков протестировал атаку с помощью скрипта Python, скачав тысячи таких архивов, и составив список Wi-Fi логинов и паролей.

 

password_list

Ну и что, скажете Вы? Почему это важно для пользователей GoPro? Действительно, много ли людей будут вертеться  в непосредственной близости около дайвера, кайтера, сноубордиста? И только для того, чтобы получить управление его камерой!

Однако, не всё так просто. Ни для кого не секрет, что многие люди используют одни и те же пароли для большого числа (если не большинства), различных веб-сайтов, приложений, электронной почты и прочих онлайн-сервисов. Потому целью злоумышленников может быть вовсе не атака на камеры.

 

Компания GoPro была уведомлена об этой проблеме, и исправления, как ожидается, будут сделаны в ближайшее время.

А нашим читателям я могу настоятельно порекомендовать незамедлительно сменить пароль Wi-Fi сети Вашей GoPro. И новый пароль не должен совпадать с любым из используемых в других сервисах.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *