GoPro是目前全球最流行的運(yùn)動相機(jī)品牌�����,現(xiàn)今已成為極限運(yùn)動專用相機(jī)的代名詞���。近日安全研究員在GoPro官網(wǎng)上發(fā)現(xiàn)了一個安全漏洞�����,可導(dǎo)致大量用戶的用戶名和密碼泄露����。
GoPro簡介
GoPro因其小型便攜的相機(jī)而聞名�����。用戶經(jīng)常會在山地自行車、滑雪�����、沖浪等極限運(yùn)動中�,所以它才成為了極限運(yùn)動專用相機(jī)的代名詞���。GoPro還開發(fā)了一個移動應(yīng)用程序����,用戶可以通過app遠(yuǎn)程控制GoPro相機(jī)����,甚至還可以自動上傳照片至社交媒體上。
GoPro是目前全球最流行的運(yùn)動相機(jī)品牌��,始創(chuàng)于2002年���,在沖浪����、滑雪�、跳傘等戶外運(yùn)動市場有著非常良好的表現(xiàn)以及口碑��。據(jù)悉僅在2014年第一季度����,YouTube上面和GoPro有關(guān)的短片瀏覽量就超過10億次�。
漏洞詳情
Ilya Chernyakov是來自以色列的安全研究員,他借朋友的GoPro相機(jī)偶然間發(fā)現(xiàn)了這一漏洞�。他的朋友忘記了GoPro密碼,Chernyakov試圖通過官網(wǎng)手動更新固件(網(wǎng)站上會有指導(dǎo))重新獲取密碼���。但當(dāng)下載必要的壓縮文件時���,他發(fā)現(xiàn)了一個名為“settings.in”的文件,里面以明文的方式給出了他的無線名和密碼��。
GoPro網(wǎng)站并未使用任何形式的認(rèn)證機(jī)制���,事實(shí)上��,只要改變網(wǎng)站上文件的URL字符就可獲得其他用戶的信息��。Chernyakov寫了一個Python腳本����,該腳本可以自動下載所有可能的字符組合文件,搜集成千上萬的無線用戶名和密碼���。
他已經(jīng)把這一漏洞的詳情報告給了GoPro公司��,但是GoPro官方并未給出回應(yīng)�。
