该漏洞暴露了数千名GoPRO用户的无线密码
相关标签: # less# python# 研究# 设备# 攻击
动作摄像机制造商GoPro生产的摄像机结构紧凑、重量轻、坚固耐用,可佩戴或安装在车辆上。GoPro摄像头通过广角镜头拍摄高清静态照片或视频。
GoPro为用户提供了一款移动应用程序,让你可以完全远程控制所有摄像头功能—;拍照、开始/停止录制并调整设置。
你需要连接到由你的相机操作的无线网络,GoPro应用程序允许你即时访问GoPro频道,查看照片和播放视频,然后通过电子邮件、文本、Facebook、Twitter等分享你的最爱。
该漏洞暴露了无线密码
安全研究员伊利亚·切尔尼亚科夫据黑客新闻团队报道,GoPro摄像头更新机制可能会将你的无线用户名和密码暴露给黑客。
最近,切尔尼亚科夫从朋友那里借了一台GoPro相机,朋友忘了它的GoPro密码。因此,他决定通过手动更新相机固件来恢复相机的密码,正如GoPro网站上提到的那样。
为了获得相机更新文件,需要遵循GoPro网站上的说明。“这是一个非常简单的过程,下一步->;下一步->;完成最后是一个指向zip文件的链接。下载此文件时,你会得到一个zip存档,你应该将其复制到SD卡上,将其放入GoPro并重新启动相机。”他解释道。GoPro网站为切尔尼亚科夫的设备生成的存档下载链接:
https://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/更新。拉链
当他打开存档rar文件时,他发现了一个名为“settings.in”的文件,其中包含相机所需的设置,包括他的无线网络的名称和密码,如图所示。
您需要注意上述存档URL中包含的数字字符(红色粗体),它们代表某种序列号,特别是指切尔尼亚科夫的相机。
收集数千个无线密码
Chernyakov注意到GoPro网站没有使用任何类型的身份验证为每个客户提供存档下载,将上述URL中的数字+/-更改为任何数字可以为其他客户公开定制的存档。
他编写了一个python脚本,自动下载同一序列中所有可能的数字的文件,并收集了数千个无线用户名和密码,这些都属于GoPro客户,包括他自己的客户。
显然,除非攻击者不在任何目标无线网络的范围内,否则无线密码没有任何用处,但暴露的用户名/密码列表可能会被攻击者在简单的密码字典中用于各种攻击中的暴力攻击。
切尔尼亚科夫向该公司报告了该漏洞,但尚未得到他们的回复。受影响的客户名单可能很广,因为GoPro是受欢迎的相机制造商,该公司最近公布的第四季度收入为6.34亿美元,是该公司第三季度销售额的两倍多。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
