• Aplikace Shot on OnePlus obsahuje bezpečnostní chybu.
• Chyba odhalila jména, země a e-mailové adresy uživatelů.
• OnePlus se poněkud zabýval bezpečnostní chybou.

Podle a 9to5Google zpráva zveřejněná dnes dnes, bezpečnostní chyba způsobila „stovky“ e-mailových adres prosakující prostřednictvím aplikace Shot on OnePlus. OnePlus předinstaluje aplikaci na telefony OnePlus 7 Pro a další telefony OnePlus.

Jak název napovídá, Shot on OnePlus zobrazuje fotografie ostatních lidí a umožňuje vám nahrát vlastní. Když nahrajete fotografii, můžete změnit její název, umístění a popis. Snímek na OnePlus vyžaduje přihlášení k nahrávání fotografií. Uživatelé mohou měnit své profilové názvy, země a e-mailové adresy v aplikaci a na webových stránkách.

Bohužel, 9to5Google našel API - hlavně se používá k získávání veřejných fotografií a vytváření propojení mezi aplikací a servery OnePlus - aby byl snadno přístupný a bez typických záruk API. Rozhraní API, které je hostováno na webu open.oneplus.net, je přístupné každému, kdo má přístupový token a zdánlivě obsahuje citlivá uživatelská data.

Ještě horší je „gid“ v API. Gid je alfanumerický kód, který umožňuje API identifikovat konkrétní uživatele. Skládá se ze dvou částí: dvou písmen, která odhalují, odkud uživatel pochází, a jedinečného čísla. Například CN472834 je uživatel z Číny a EN593874 je uživatel odjinud.

Zranitelné API používá gid k nalezení uživatelů nahraných fotografií nebo k jejich odstranění. Rozhraní API také používá gid k získání informací o uživateli, jako je jeho jméno, země a e-mail, a tyto informace aktualizuje.

Jako by to nebylo dost špatné, můžete procházet čísly gid a najít další uživatele.

Dobrou zprávou je, že API již netěsní nabídku a e-mailovou adresu těch, kteří veřejně nahrávají fotografie. OnePlus to také zvládl, takže rozhraní API používá pouze aplikace Shot on OnePlus 9to5Google poznámky, které lze snadno obejít. Nakonec API zakrývá e-mailové adresy hvězdičkami.

oslovil OnePlus k vyjádření, ale nedostal odpověď v době tisku.