Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
04/03/2015
Vulnerabilitat en el sistema d'actualitzacions de dispositius GoPro compromet milers de contrasenyes d'usuaris
Un investigador independent ha reportat que el sistema d’actualitzacions de dispositius del popular fabricant de càmeres d’ús personal està afectat per una vulnerabilitat que permet de manera senzilla obtindre noms d’usuari i contrasenyes d’usuaris de la plataforma
GoPro, referent mundial en la fabricació de càmeres d’acció, junt amb el mateix dispositiu proporciona als usuaris accés a una aplicació mòbil que permet gestionar i controlar la càmera de forma remota (açò inclou compartir, descarregar, visualitzar i gestionar contingut capturat per la càmera). Quan es produïxen problemes amb les credencials d’accés al servici, l’usuari ha de recórrer a un sistema de restauració manual del microprogramari (firmware).
L’investigador es va veure en el compromís d’actualitzar el microprogramari d’un dispositiu GoPro d’un amic que havia oblidat les seues credencials d’accés al servici. El mateix fabricant afirma en el seu lloc web que es tracta d’un procés senzill i ràpid. Quan es va posar mà a l’obra, va comprovar que el lloc no empra cap tipus de validació, sinó que l’identificador de l’usuari es passa un paràmetre a través de la URL de descàrrega, facilita l'accés a imatges del dispositiu d’altres clients i altera este paràmetre de manera trivial. El principal problema és que la imatge del dispositiu que es descarrega es facilita personalitzada, i permet obtindre les credencials d’accés al servici d’altres usuaris.
L’investigador ha informat GoPro, però, segons pareix, la companyia encara no s’hi ha pronunciat.
Més informació en este enllaç.