流行运动相机GoPro官网可遍历明文存储的用户账号和密码

GoPro是目前全球最流行的运动相机品牌，现今已成为极限运动专用相机的代名词。近日安全研究员在GoPro官网上发现了一个安全漏洞，可导致大量用户的用户名和密码泄露。

GoPro简介

GoPro因其小型便携的相机而闻名。用户经常会在山地自行车、滑雪、冲浪等极限运动中，所以它才成为了极限运动专用相机的代名词。GoPro还开发了一个移动应用程序，用户可以通过app远程控制GoPro相机，甚至还可以自动上传照片至社交媒体上。

GoPro是目前全球最流行的运动相机品牌，始创于2002年，在冲浪、滑雪、跳伞等户外运动市场有着非常良好的表现以及口碑。据悉仅在2014年第一季度，YouTube上面和GoPro有关的短片浏览量就超过10亿次。

漏洞详情

Ilya Chernyakov是来自以色列的安全研究员，他借朋友的GoPro相机偶然间发现了这一漏洞。他的朋友忘记了GoPro密码，Chernyakov试图通过官网手动更新固件（网站上会有指导）重新获取密码。但当下载必要的压缩文件时，他发现了一个名为“settings.in”的文件，里面以明文的方式给出了他的无线名和密码。

GoPro网站并未使用任何形式的认证机制，事实上，只要改变网站上文件的URL字符就可获得其他用户的信息。Chernyakov写了一个Python脚本，该脚本可以自动下载所有可能的字符组合文件，搜集成千上万的无线用户名和密码。

他已经把这一漏洞的详情报告给了GoPro公司，但是GoPro官方并未给出回应。