Уязвимость обнаружена на сайте производителя GoPro
Интернет

Уязвимость обнаружена на сайте производителя GoPro

На сайте Secure Or Not была написана важная заметка, затрагивающая официальный сайт GoPro. Экспертами по безопасности была замечена крупная уязвимость на сайте, в результате которой злоумышленники могут взломать внутреннюю базу данных, а затем получить информацию о пользователях системы. Среди конфиденциальных данных могут присутствовать и сведения о предпочитаемых беспроводных соединениях и сетевых настройках. Теоретически это позволяет воровать трафик из Wi-Fi подключений, если находиться в радиусе действия модема.

В обновлении прошивок камер GoPro имеется функция восстановления пользовательского пароля. Именно здесь и кроется основная брешь. Суть сводится к необходимости скачивать ZIP-архив, в котором будут иметься все необходимые данные. И хотя процедура считается простой и относительно безопасной, некоторые вещи здесь реализованы из рук вон плохо. Скаченные архив загружается на карту SD, затем вставляется в камеру, после этого следует перезагрузить устройство. Произойдёт обновление данных, прошивка обновится.

В файле settings.in, который обязательно присутствует в таком ZIP-архиве, можно обнаружить имя и пароль беспроводного соединения пользователя, через которое была выкачена эта информация. Все данные там располагаются в простом текстовом виде, даже без дополнительной шифровки! Вторая проблема – путь к файлу обновления, который всегда выглядит следующим образом: cbcdn2.gp-static.com/ uploads /firmware-bundles/ firmware_bundle / 1234567/ UPDATE.zip, а цифры 1234567 – уникальный номер конкретной камеры.

Вполне очевидно, что достаточно воспользоваться элементарным софтом для брутфорса, чтобы подобрать этот номер и скачать архив. Если соединить две уязвимости воедино, получается работающий инструмент для воровства пользовательских логинов и паролей от беспроводных сетей. Сотрудники Secure Or Not уже направили администрации сайта GoPro отчёт об обнаруженных ошибках, но официального ответа на него пока не последовало. Пользователям же рекомендуется временно воздержаться от обновления прошивки камеры, пока найденные бреши не будут должным образом закрыты.

3 2258 Рейтинг 4.225/5 основан на 2258 просмотрах
Комментарии
  • Turio

    А камера-то отличная, я недавно новейшую модель купил.

    Sunday, 21-07-2019 09:00
  • AlexMerf

    GoPro для статичной съёмки не очень, а вот для движущейся камеры - идеально! Беру с собой в поездки и путешествия, всегда под рукой. Чтокасается уязвимости - главное что нашли её.Уже обновил прошивку:)

    Sunday, 21-07-2019 15:22
  • WrighT

    Интересная штука)

    Thursday, 21-10-2021 02:56