Un fallo en la página de GoPro deja al descubierto las contraseñas de las redes Wi-Fi de los usuarios

Escrito por Adrián Crespo
Seguridad
0

Hoy en día podemos encontrarnos fallos de seguridad en las páginas web más insospechadas. Seguro que alguno de vosotros es usuario de una cámara GoPro y que como tal se haya registrado en la página web del fabricante. Es necesario que conozcais que el sitio web poseía una vulnerabilidad que ha dejado al descubierto las credenciales de acceso de parte de los usuarios y las contraseñas de las redes Wi-Fi asociadas a las cámaras.

El motivo por el que aparezcan contraseñas Wi-Fi en algo que apriori no tiene nada que ver es la función que permite al usuario controlar de forma remota la cámara gracias a una aplicación disponible para los sistemas operativos móviles, siendo necesario para esta operación que esta se encuentre conectada a una red inalámbrica.

Un investigador tuvo la oportunidad de encontrar el problema gracias a una cámara averiada: la persona propietaria había modificado la contraseña y algunos parámetros más, creando una configuración errónea que impedía el acceso a la misma. Una de las funciones que posee el portal web de estos dispositivos es realizar copias de seguridad que posteriormente se pueden descargar. Al realizar la descarga de una de estas para restablecer el firmware de forma manual se encontró con que dentro del archivo de configuración se estaba el nombre de la red inalámbrica, la contraseña y las credenciales de acceso al sitio personal de GoPro.

El experto en seguridad pronto se dio cuenta de dónde estaba el problema, la URL:

http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip

 

Todos estos archivos se encuentran almacenados en un FTP público que no tiene ningún tipo de restricción. Esto quiere decir que modificando el número de la URL destacado en negrita por otro cualquiera podemos descargar los archivos de configuración de la GoPro de otros usuarios, disponiendo de acceso a la contraseña de la red Wi-Fi y las credenciales de acceso al sitio personal.

GoPro no ha respondido al reporte

El investigador se puso en contacto con los responsables de la página de los dispositivos, explicando qué es lo que sucedía. Sin embargo, después de varias semanas no ha obtenido respuesta el y fallo de seguridad aún persiste a día de hoy.

La persona que encontró el fallo consiguió programar un script utilizando Python, generando todos los números posibles y viendo cómo se iniciaban las descargas de todos aquellos usuarios que poseían copias de seguridad almacenadas en el FTP.

Fuente | The Hacker News