- L'app Shot on OnePlus contiene un difetto di sicurezza.
- Il difetto ha rivelato nomi, paesi e indirizzi email degli utenti.
- OnePlus ha in qualche modo risolto il problema della sicurezza.
Secondo a 9to5Google rapporto pubblicato oggi, un difetto di sicurezza ha causato la fuoriuscita di "centinaia" di indirizzi e-mail tramite l'app Shot on OnePlus. OnePlus preinstalla l'app su OnePlus 7 Pro e su altri telefoni OnePlus.
Come suggerisce il nome, Shot on OnePlus mostra le foto di altre persone e ti consente di caricare le tue. Quando carichi una foto, puoi modificarne il titolo, la posizione e la descrizione. Girato su OnePlus richiede un accesso per i caricamenti di foto, con gli utenti in grado di cambiare il loro profilo profilo, paesi e indirizzi e-mail all'interno dell'app e del sito Web.
Sfortunatamente, 9to5Google trovato un'API - utilizzata principalmente per ottenere foto pubbliche e creare il collegamento tra l'app e i server di OnePlus - di facile accesso e senza i tipici titoli API. Ospitata su open.oneplus.net, l'API è accessibile a chiunque abbia un token di accesso e apparentemente contiene dati sensibili dell'utente.
A peggiorare le cose è il "gid" nell'API. Il gid è un codice alfanumerico che consente all'API di identificare utenti specifici. È composto da due parti: due lettere che rivelano la provenienza di un utente e un numero univoco. Ad esempio, CN472834 è un utente dalla Cina e EN593874 è un utente da qualche altra parte.
L'API vulnerabile utilizza il gid per trovare le foto caricate da un utente o eliminare tali foto. L'API utilizza anche gid per ottenere le informazioni di un utente, come il nome, il Paese e l'e-mail, e aggiornarle.
Come se ciò non bastasse, puoi scorrere i numeri di una gid per trovare altri utenti.
La buona notizia è che l'API non perde più il gid e gli indirizzi e-mail di coloro che caricano pubblicamente le foto. OnePlus ha anche fatto in modo che solo l'app Shot on OnePlus utilizzi l'API 9to5Google note che possono essere facilmente aggirate. Infine, l'API oscura gli indirizzi e-mail con asterischi.
ha contattato OnePlus per un commento ma non ha ricevuto risposta entro il momento della stampa.