Un fallo en la web de GoPro revela las contraseñas WiFi de las cámaras de sus usuarios

Las cámaras GoPro tienen fama de ser ligeras y ultra-resistentes. La gente las usa para el ciclismo de montaña, motociclismo e incluso para los deportes acuáticos.
La popular 'action cams' pueden controlarse desde el smartphone a través de una aplicación que te permite grabar, acceder a tus fotos o subirlas a las redes sociales. Para hacerlo, el usuario tiene que conectarse a un punto de acceso inalámbrico creado por la propia cámara mediante una contraseña definida por el usuario...

Ilya Chernyakov, un investigador de seguridad en Israel, intentaba recuperar la contraseña de la cámara de un amigo mediante el procedimiento del fabricante:

"Si necesitas 'resetear' la configuración de la wifi, tienes que seguir las instrucciones dadas en el sitio web de Gopro. Es un procedimiento bastante sencillo, 'Siguiente', 'Siguiente', 'Finalizar' y obtienes un enlace a un fichero ZIP. Hay que descargar el fichero, y copiarlo a la tarjeta SD, para finalmente reiniciar la cámara." explicó en su blog.


La sorpresa fue que el fichero ZIP contiene la configuración de la cámara("settings.in"), incluyendo las credenciales para acceder a la red wifi de la cámara en texto plano:



Después, comprobó que el enlace de descarga era accesible sin autenticación y que el ID de cada usuario estaba en la URL (en negrita a cont.) y era fácilmente predecible:

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

Luego mediante un sencillo script en Python pudo obtener el fichero zip de unos 1.000 IDs y comprobar que, efectivamente, existe un fallo en la web de GoPro que expone las contraseñas WiFi de los usuarios:



Evidentemente nadie podrá acceder a la cámara de otro usuario si no está cerca, pero un atacante podría utilizar estas credenciales en otros sitios (¿os suena la fea costumbre de reutilizar las contraseñas?) o preparar ataques de diccionario "quirúrgicos".

Chernyakov notificó el fallo a GoPro, por lo que previsiblemente corregirán el fallo en breve.

"
Considero que la forma más rápida de mitigar el riesgo que sería reemplazar el número en el enlace por un GUID o algún otro tipo de valor generado que dificulte 'adivinar' otros enlaces válidos", dice Chernyakov, añadiendo que sería también una buena idea borrar la información de los servidores una vez se ha descargado el fichero. 

Comentarios

  1. http://secureornot.blogspot.co.il/2015/03/gopro-update-mechanism-exposes-multiple.html

    ResponderEliminar
    Respuestas
    1. Hi Ilya, I already put your name and link to your blog up to "...en su blog.", but I put it down at the end too to make it look better if you prefer. Have u received an official answer from GoPro about the vulnerability? any fix?

      Eliminar
  2. y como es el script para probar las direcciones?

    ResponderEliminar
    Respuestas
    1. en bash por ejemplo:

      for i in {0000001..9999999}; do
      curl -O http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/$i/UPDATE.zip
      mv UPDATE.zip UPDATE$i.zip
      sleep 3
      done

      Eliminar

Publicar un comentario