Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/03/2015
Vulnerabilidad en el sistema de actualizaciones de dispositivos GoPro compromete miles de contraseñas de usuarios
Un investigador independiente ha reportado que el sistema de actualizaciones de dispositivos del popular fabricante de cámaras de uso personal está afectado por una vulnerabilidad que permite de forma sencilla obtener nombres de usuario y contraseñas de usuarios de la plataforma.
GoPro, referente mundial en la fabricación de “cámaras de acción”, junto al propio al dispositivo proporciona a los usuarios acceso a una aplicación móvil que permite la gestión y control de la cámara de forma remota (esto incluye compartir, descargar, visualizar y gestionar contenido capturado por la cámara). Cuando se producen problemas con las credenciales de acceso al servicio, el usuario debe recurrir a un sistema de restauración manual del firmware.
El investigador se vio en el compromiso de actualizar el firmware de un dispositivo GoPro de un amigo que había olvidado sus credenciales de acceso al servicio. El propio fabricante afirma en su sitio web que se trata de un proceso sencillo y rápido. Al ponerse manos a la obra, comprobó que el sitio no emplea ningún tipo de validación, sino que el identificador del usuario se pasa por un parámetro a través de la URL de descarga, facilitando acceso a imágenes del dispositivo de otros clientes alterando dicho parámetro de forma trivial. El principal problema es que la imagen del dispositivo que se descarga se facilita personalizada, y permite obtener las credenciales de acceso al servicio de otros usuarios.
El investigador ha informado a GoPro, pero al parecer la compañía aún no se ha pronunciado al respecto.
Más información en el siguiente enlace.