Bezpečnostná diera v systéme GoPro kamier ohrozovala súkromné videá

Chybné nastavenie portálu podpory GoPro kamier ešte donedávna umožňovalo komukoľvek získať unikátne wifi heslo konkrétnych zariadení, a tým aj prístup k súkromným videám, či fotografiám.

Na možnú zraniteľnosť kamier upozornil bezpečnostný výskumník Ilya Chernyakov, tiež majiteľ jednej takejto technologickej novinky potom, ako zabudol wifi heslo svojej kamery. Bez wifi hesla sa nevedel dostať do mobilnej aplikácie, ktorá sa pripája ku kamere prostredníctvom wifi siete vytvorenej zariadením. Aplikácia následne umožňuje kameru ovládať na diaľku, či prehrávať a zdieľať súkromný obsah.

Chernyakov preto postupoval podľa návodu na obnovu wifi hesla. Pre získanie alebo obnovenie zabudnutého používateľského mena a hesla na starších verziách GoPro kamier je potrebné stiahnuť zazipovaný súbor z webstránky GoPro, následne skopírovať uvedené údaje do pamäťovej karty a vypnúť/zapnúť kameru.

Problém spočíval práve v zazipovanom súbore, ktorý systém vygeneruje osobitne pre každého užívateľa vo forme adresy: /firmware_bundle/8605145/UPDATE.zip. Chernyakov prišiel na to, že keď lubovoľne zmení číslo z vygenerovanej adresy, dostane Wifi heslo iných zariadení. Bez väčších problémov sa mu podarilo zozbierať tisíc náhodných mien a hesiel len sťahovaním týchto zaziponaných súborov. Stránka totiž pri samostnom sťahovaní nevyžadovala žiadne overenie totožnosti a vystavovala preto obsah pamäťovej karty riziku odcudzenia. Nahraté materiály by sa tak teoreticky mohli dostať do rúk kohokoľvek, kto sa nachádza v okruhu dostupnosti Wifi signálu iného používateľa.

Chernyakov na svojom blogu uviedol, že: „GoPro vyvinul skvelý produkt. Veľa ľudí ho má rado a využíva každý deň, preto by GoPro malo chrániť naše dáta a nastavenia.“ Po tom, čo sa mu nepodarilo spojiť s vývojármi GoPro kamier upovedomil US-CERT, Americký tím pre počítačovú pohotovosť, ktorý skontaktoval spoločnosť a zjednal nápravu.

Zdroj: Secureornot.blogspot.co.il

(PR)