如果你想拍出自己最醜陋的一面,請把手機給你的男友;如果你想拍自己最美好的一面,請用GoPro。
自從手機內置攝像頭把大部分數位相機放進了儲藏室後,很多人忽略了手機拍照的瓶頸——攝像頭長手機裡面, 延展性有很大的問題,在角度和位置上必須做出一些妥協,明顯骨(shi)灰(bi)級自拍愛好者無法忍受自身諸如手不夠長,柔韌性不夠好等缺陷。GoPro 因此而誕生,可以說是非常偉大的產品,公司也隨之上市,根據去年末的數據,Gopro 第四季度營收高達6.34億,是第三季度的兩倍 但是一周前,誰都沒想到GoPro的用戶wifi密碼竟然是明文保存且可以輕易被獲取到。
Gopro提供了一個app給你使用,通過這個app你可以無線連接到GoPro並讓你的手機操作各種功能,包括拍照,拍攝,查看SD卡上的資源,發郵件,轉發到facebook等等。 其通信使用的是需要密碼的wifi協議, 這裡就出現一個需求——密碼需要設置。為了重新設置WiFi設置,需要按照GoPro網站 http://gopro.com/support/articles/wi-fi-name-password上的要求,一直點擊「next」到「finish」。之後就會有一個連結,讓你下載一個zip文件。
這個文件解壓縮後會有一個settings.in的文件,裡面包含了用戶WIFI的用戶名和明文密碼, 這裡已經帶來了一個很大的安全隱患了:GoPro擁有你所有的wifi密碼的明文信息。 貌似由於注意力被轉移了,GoPro並沒有對這一點做出回應。
如果只是這樣的一個安全隱患,那還不能叫做漏洞, 我們來看一下下載的連結:
http://cbcdn2.gp-static.com/uploads/firmware-bundles/firmware_bundle/8605145/UPDATE.zip
上面粗體字的部分,看上去像是一個用戶id似的變量, 把這個變量改一下如何? 咦,又下載了一個zip文件,而且這個文件包含的不是自己的密碼信息,而是別人的。
於是就簡單了,寫一個小python程序跑一陣,就可以輕鬆獲得數百名用戶的信息。 整個POC的過程持續了很短的時間, GoPro官方沒有任何限制用戶對這些zip文件的訪問。
這個漏洞理論上可以造成大量用戶wifi密碼被盜, 建議使用GoPro的用戶將使用過的wifi密碼都去更改一下。
如何修復這個漏洞呢? 除了對url上這個id變量進行加密, 還可以限制用戶對文件的訪問,做到雙保險, 使用類似機制的公司可以借鑑一下。
該漏洞最早由llya chemyakov 與3月1日發布, 360播報在4日進行了轉載。
----廣告分割線----
關注微信號:lagounews, 專業的網際網路領域招聘平臺,專注於為網際網路從業者提供更好的職業機會。每天有新鮮資訊和大家分享,歡迎關注。
正值三月跳槽旺季,目前來看,垂直招聘領域中,拉勾網號稱「10萬個offer全民跳槽月」獲得的反響最大。拉勾網以尊重求職者著稱,要求薪資透明,及時反饋,這才是最符合網際網路思維的招聘。而且他們對網際網路人才的理解更深入,除了求職信息匹配之外,提供了更多能夠幫助求職者職業成長的服務,網際網路招聘領域內的其他跟隨者基本上已經沒有機會再追趕了。
點擊今天的 閱讀原文, 查看拉勾帶來的網際網路最新職位消息。
人生如戲 厲哥 出品
【微信號】mintshow
掃下面二維碼向我打賞
回復「help」查看更多厲哥文章。。你懂的。