El popular fabricante de cámaras GoPro tiene una vulnerabilidad en su web oficial que expone usuarios y contraseñas de la Wi-Fi de la cámara de miles de clientes de la compañía. El investigador de seguridad Ilya Chernyakov ha informado, según recoge The Hacker News, que el mecanismo de actualización de la cámara expone estos los nombres y contraseñas de los usuarios.

La compañía ofrece una aplicación móvil a sus usuarios que permiten el control remoto de las funciones de la cámara: tomar una foto, grabar o ajustar las opciones. Para usarla, hay que conectarse a la red inalámbrica de la cámara.

El investigador lo descubrió por casualidad, al intentar recuperar la contraseña que no recordaba de una de las cámaras. Para resetear las configuraciones Wi-Fi tan solo hay que seguir las instrucciones de la web de la compañía.  En estas, se genera un archivo .zip que hay que copiar en una tarjeta SD, introducir en la GoPro y reiniciar la cámara.

Cuando abrió el archivo, encontró un documento llamado “settings” que contenía las configuraciones de la cámara, incluyendo las nombres de sus redes inalámbricas y contraseñas en texto plano.

Recolectando miles de contraseñas

El investigador se dio cuenta de que la página web de GoPro no estaba usando ningún tipo de autenticación para facilitar el archivo descargable para cada usuarios. Escribió un script en Python para descargar automáticamente el archivo con todos los números posibles en el mismo serial y recolectó miles de usuarios y contraseñas que pertenecían a clientes de GoPro, incluyendo el suyo.

Evidentemente, las contraseñas inalámbricas no son útiles para un atacante a no ser que esté en el rango de acción de esa red, pero el hecho de que la lista de usuarios y contraseñas esté expuesta puede ser usada por los atacantes en ataques de fuerza bruta.

El investigador reportó la vulnerabilidad a la compañía, pero no ha obtenido respuesta. La lista de afectados podría ser tan extensa como clientes tiene la compañía.

 

 

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

Deja un comentario