- Aplicația Shot on OnePlus conține un defect de securitate.
- Defectul a expus numele, țările și adresele de e-mail ale utilizatorilor.
- OnePlus a abordat oarecum defectul de securitate.
Conform unui 9to5Google raport publicat mai devreme, un defect de securitate a provocat „sute” de adrese de e-mail prin scurgerea aplicației Shot on OnePlus. OnePlus preinstalează aplicația pe OnePlus 7 Pro și pe alte telefoane OnePlus.
După cum sugerează și numele, Shot on OnePlus arată fotografiile altor persoane și vă permite să încărcați propriile dvs. Când încărcați o fotografie, puteți modifica titlul, locația și descrierea acesteia. Shot pe OnePlus necesită o autentificare pentru încărcarea fotografiilor, utilizatorii putând modifica numele profilului, țările și adresele de e-mail din aplicație și site-ul web.
Din pacate, 9to5Google a găsit o API - utilizată mai ales pentru a obține fotografii publice și a face ca legătura dintre aplicație și serverele OnePlus - să fie ușor de accesat și fără titluri API tipice. Găzduit pe open.oneplus.net, API-ul este accesibil oricui are un jeton de acces și, aparent, conține date sensibile ale utilizatorului.
Înrăutățirea problemelor este „ghidul” din API. Ghidul este un cod alfanumeric care permite API-ului să identifice utilizatori specifici. Este format din două părți: două litere care dezvăluie de unde provine un utilizator și un număr unic. De exemplu, CN472834 este un utilizator din China și EN593874 este un utilizator din altă parte.
API-ul vulnerabil utilizează ghidul pentru a găsi fotografiile încărcate de un utilizator sau pentru a șterge respectivele fotografii. API-ul folosește, de asemenea, ghidul pentru a obține informațiile utilizatorului, cum ar fi numele, țara și e-mailul și pentru a actualiza informațiile respective.
De parcă nu ar fi fost suficient de rău, puteți parcurge numerele unui ghid pentru a găsi alți utilizatori.
Vestea bună este că API-ul nu mai scurge adresele de ghid și e-mail ale celor care încarcă public fotografii. OnePlus a făcut ca astfel doar aplicația Shot on OnePlus să utilizeze API-ul 9to5Google note care pot fi ocolite cu ușurință. În cele din urmă, API-ul ascunde adresele de e-mail cu asteriscuri.
a adresat OnePlus pentru comentarii, dar nu a primit niciun răspuns până la ora de presă.