l+f: GoPro verriet WLAN-Passwörter

Security-Fail bei GoPro: Durch Hochzählen einer URL konnte man auf die Kamera-Konfigurationen der Kunden zugreifen – einschließlich WLAN-Passwort im Klartext.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

GoPro HERO4

Über die Website des Actioncam-Herstellers GoPro konnte man offenbar die WLAN-Passwörter aller Kunden abrufen im Klartext abrufen. Die gute Nachricht ist: Es handelt sich lediglich um den Schlüssel zum Netz der WLAN-tauglichen GoPro-Modelle, über das man Bilder abrufen und die Kamera fernsteuern kann. Schuld ist eine Funktion, über die man das WLAN-Passwort der Kamera ändern kann. Dabei generiert die Website ein kleines Firmware-Update, das neben dem neuen Passwort auch die bisherige Konfiguration der Kamera enthält – einschließlich des alten Passworts.

Zählte man eine Ziffernfolge in der Download-URL des Updates hoch oder runter, konnte man auch auch die Konfigurationen der anderen Kunden einsehen. GoPro hat das Problem inzwischen behoben, wer ein entsprechendes Modell besitzt, sollte besser das WLAN-Passwort ändern ...

lost+found: Die heise-Security-Rubrik für Kurzes und Skurriles aus der IT-Security (rei)