首页 > IT资讯 > 网络安全预警 > 正文
漏洞自曝成千上万GOPRO用户的无线密码
2015-03-28     我来说两句       作者:黑帽网
   我要投稿

 

漏洞自曝成千上万GOPRO用户的无线密码
GOPRO,流行的耐磨高清摄像头生产厂家,具有脆弱性在其官方网站上公开了用户名和客户的无线网络的密码千元。
 
操作相机制造商GOPRO相机制造的体积小,重量轻,坚固耐用,而且耐磨,或安装于车辆。GOPRO摄像头捕捉到广角镜头高清静态照片或视频。
 
GOPRO提供了一个移动应用程序给用户,让你所有的相机功能完全远程控制 - 拍照,开始/停止录制,并调整设置。
 
你需要连接到您的相机操作的无线网络和应用程序GOPRO让你即时访问GOPRO通道通过电子邮件,文本,Facebook,Twitter和更多的浏览照片和播放视频,然后分享您的收藏夹。
探伤暴露无线密码
安全研究员伊利亚Chernyakov 报道黑客新闻团队GOPRO相机更新机制可以无线的用户名和密码暴露给黑客。
 
近日,Chernyakov从他的朋友,谁忘记了密码GOPRO借了GOPRO相机。于是,他决定通过手动更新相机固件,因为提到GOPRO网站上收回相机的密码。
为了让相机更新文件,需要遵循指令可用GOPRO网站上。“这是很简单的程序,单击下一步- >下一步- >完成了最终的链接,以一个zip文件当你下载了。文件,你会得到你应该复制到SD卡,把它放在你的GOPRO并重新启动相机一个zip压缩包,“他解释说。
通过GOPRO网站Chernyakov的设备生成存档下载链接:
http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/ 8605145 /UPDATE.zip
当他打开存档rar文件,他发现了一个名为“settings.in”的文件,其中载有摄像机所需的设置,包括以纯文本他的无线网络的名称和密码,如图所示。
GOPRO-<a href=http:///Article/201406/2808.html _fcksavedurl=http:///Article/201406/2808.html target=_blank class=infotextkey><a href=http://www.chinablackhat.com/Article/201406/2808.html target=_blank class=infotextkey>密码破解</a></a>
需要注意包含在上述归档的URL数字字符(红色粗体),代表某种序号特别参照Chernyakov的相机。

无线密码COLLECTING数千
Chernyakov注意到GOPRO网站不使用任何种类的认证提供每个客户档案下载及不断变化的数值+/-任何数字在上面URL可以公开定制归档为其他客户。
 
他写了一个python脚本来自动下载文件,为所有可能的号码相同的序列,并收集了数千个无线用户名和密码,属于GOPRO客户,包括他自己。
 
显然,无线密码都是没有用的,除非攻击者是不是在任何有针对性的无线网络的覆盖范围,但暴露的用户名/密码列表中的各种攻击一个简单的密码字典穷举攻击可以被攻击者利用。
 
Chernyakov报告漏洞的公司,但并没有听到他们回来。客户受影响的名单可能是宽GOPRO是流行的相机制造商,该公司近日公布了第四季度营收为6.34亿美元,这是增加了一倍以上,该公司第三季度的销售额。
点击收藏到自己的收藏夹!回本站首页
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:希捷NAS零日漏洞允许未经授权的超级用户访问远程
下一篇:社工与社工库的那些事
相关文章
图文推荐
排行
热门
文章
公告
读书
关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 中国黑帽网--致力于做最好的网络安全技术学习网站 。