- A Shot on OnePlus alkalmazás biztonsági hibát tartalmaz.
- A hibát feltárt felhasználói nevek, országok és e-mail címek.
- Az OnePlus kissé foglalkozott a biztonsági hibával.
Szerint a 9to5Google A mai napon korábban közzétett jelentés szerint egy biztonsági hiba „száz” e-mail címet szivárogtatott fel a Shot segítségével az OnePlus alkalmazásban. A OnePlus előre telepíti az alkalmazást a OnePlus 7 Pro és más OnePlus telefonokra.
Ahogy a neve is sugallja, a Shot az OnePluson mások fényképeit jeleníti meg, és lehetővé teszi, hogy feltöltse a sajátját. Fotó feltöltésekor megváltoztathatja annak címét, helyét és leírását. A OnePluson történő lövéshez be kell jelentkezni a fotófeltöltésekhez, és a felhasználók megváltoztathatják profilneveiket, országaikat és e-mail címeiket az alkalmazáson és a webhelyen belül.
Sajnálatos módon, 9to5Google talált egy API-t - elsősorban nyilvános fényképek készítésére, valamint az alkalmazás és az OnePlus szerverei közötti kapcsolat létrehozására -, hogy könnyen hozzáférhető legyen és tipikus API-értékpapírok nélkül. Az open.oneplus.net webhelyen üzemeltetett API az hozzáférési jogkivonattal rendelkezők számára elérhető, és látszólag érzékeny felhasználói adatokat tartalmaz.
A dolgok még rosszabbá tétele az API „gid” -je. A gid egy alfanumerikus kód, amely lehetővé teszi az API számára az egyes felhasználók azonosítását. Két részből áll: két betű, amely felfedi a felhasználó származási helyét, és egyedi szám. Például a CN472834 felhasználó Kínából, az EN593874 pedig valahol másutt.
A sérülékeny API a gid felhasználásával keresi fel a felhasználó által feltöltött fényképeket vagy törli azokat. Az API a gid segítségével a felhasználó adatainak, például a nevének, országának és e-mailjének a lekérdezéséhez, valamint ezen információk frissítéséhez is felhasználható.
Mintha ez nem lenne elég rossz, akkor átkerülhet egy gid számán, hogy más felhasználókat találjon.
A jó hír az, hogy az API többé nem szivárog be azoknak a weboldalába és e-mail címébe, akik nyilvánosan feltöltik a fényképeket. A OnePlus szintén tette, így csak a Shot on OnePlus alkalmazás használja az API-t 9to5Google megjegyzi, hogy könnyen megkerülhető. Végül az API elhomályosítja az e-mail címeket csillagokkal.
megjegyzést kapott az OnePlushoz, de a sajtóidőig nem kapott választ.