GoPro是目前全球最流行的运动相机品牌,现今已成为极限运动专用相机的代名词。近日安全研究员在GoPro官网上发现了一个安全漏洞,可导致大量用户的用户名和密码泄露。
GoPro简介
GoPro因其小型便携的相机而闻名。用户经常会在山地自行车、滑雪、冲浪等极限运动中,所以它才成为了极限运动专用相机的代名词。GoPro还开发了一个移动应用程序,用户可以通过app远程控制GoPro相机,甚至还可以自动上传照片至社交媒体上。
GoPro是目前全球最流行的运动相机品牌,始创于2002年,在冲浪、滑雪、跳伞等户外运动市场有着非常良好的表现以及口碑。据悉仅在2014年第一季度,YouTube上面和GoPro有关的短片浏览量就超过10亿次。
漏洞详情
Ilya Chernyakov是来自以色列的安全研究员,他借朋友的GoPro相机偶然间发现了这一漏洞。他的朋友忘记了GoPro密码,Chernyakov试图通过官网手动更新固件(网站上会有指导)重新获取密码。但当下载必要的压缩文件时,他发现了一个名为“settings.in”的文件,里面以明文的方式给出了他的无线名和密码。
GoPro网站并未使用任何形式的认证机制,事实上,只要改变网站上文件的URL字符就可获得其他用户的信息。Chernyakov写了一个Python脚本,该脚本可以自动下载所有可能的字符组合文件,搜集成千上万的无线用户名和密码。
他已经把这一漏洞的详情报告给了GoPro公司,但是GoPro官方并未给出回应。
