Una vulnerabilidad en GoPro expone miles de contraseñas de usuarios

Un investigador de seguridad ha informado de una vulnerabilidad en el mecanismo de actualización de las cámaras de acción GoPro que podría exponer nombre de usuario y la contraseña a los piratas informáticos.

GoPro -actualmente la empresa de referencia en el creciente mercado de cámaras de acción- ofrece una aplicación móvil para controlar la cámara de forma remota, ver y compartir contenido y ajustar la configuración.

El investigador, tomó prestada una cámara GoPro de un amigo que olvidó la contraseña de acceso y se decidió a recuperarla mediante la actualización manual del firmware de la cámara en un procedimiento simple como se menciona en el sitio web de la compañía.

Al realizarlo, comprobó que el portal web GoPro no utiliza ningún tipo de autenticación para proporcionar el archivo de descarga para cada cliente y cambiando el valor numérico +/- para cualquier dígito en la URL puede exponer el archivo personalizado para otros clientes. Escribió un script en Python para descargar automáticamente el archivo para todos los números posibles de la misma serie y consiguió miles de nombres de usuario y contraseñas que pertenecen a los clientes GoPro.

El investigador informó de la vulnerabilidad a la compañía pero no ha recibido noticias de ellos.