- Shot on OnePlus -sovelluksessa on tietoturvavirhe.
- Vika paljasti käyttäjien nimet, maat ja sähköpostiosoitteet.
- OnePlus korvasi jonkin verran turvallisuusvirhettä.
Mukaan a 9to5Google aiemmin tänään julkaistu raportti, tietoturvavirhe aiheutti "satojen" sähköpostiosoitteiden vuotamisen Shot-sovelluksen kautta OnePlus-sovelluksessa. OnePlus esiasentaa sovelluksen OnePlus 7 Pro- ja muihin OnePlus -puhelimiin.
Kuten nimestä voi päätellä, Shot OnePlusissa näyttää muiden ihmisten valokuvat ja antaa sinun ladata omat. Kun lähetät valokuvan, voit muuttaa sen otsikkoa, sijaintia ja kuvausta. Shot on OnePlus vaatii kirjautumisen valokuvien lähettämiseen, jolloin käyttäjät voivat muuttaa profiilinimiä, maita ja sähköpostiosoitteitaan sovelluksessa ja verkkosivustossa.
Valitettavasti, 9to5Google löysi sovellusliittymän - jota käytetään pääasiassa julkisten valokuvien hankkimiseen ja linkin luomiseen sovelluksen ja OnePlus-palvelimien välillä - olevan helppo käyttää ja ilman tyypillisiä API-arvopapereita. Isännöidään avoimessa.oneplus.net-sivustossa, sovellusliittymä on kaikkien käytettävissä, jolla on käyttöoikeus, ja näyttää olevan arkaluonteisia käyttäjätietoja.
Asioiden vaikeuttaminen on sovellusliittymän ”gid”. Gid on aakkosnumeerinen koodi, jonka avulla sovellusliittymä voi tunnistaa tietyt käyttäjät. Se koostuu kahdesta osasta: kahdesta kirjaimesta, jotka paljastavat käyttäjän lähtöpaikan, ja yksilöllisestä numerosta. Esimerkiksi CN472834 on käyttäjä Kiinasta ja EN593874 on käyttäjä muualta.
Haavoittuva sovellusliittymä käyttää gid-sovellusta käyttäjän lataamien valokuvien löytämiseen tai mainittujen valokuvien poistamiseen. Sovellusliittymä käyttää gid: tä myös käyttäjän tietojen, kuten käyttäjän nimen, maan ja sähköpostin, hakemiseen ja päivittämiseen.
Aivan kuin se ei olisi tarpeeksi huono, voit selata gid-numeroita löytääksesi muita käyttäjiä.
Hyvä uutinen on, että sovellusliittymä ei enää vuota valokuvia julkisesti lähettävien henkilöiden verkko- ja sähköpostiosoitteita. OnePlus teki myös sen, joten vain Shot on OnePlus -sovellus käyttää API: ta 9to5Google huomautukset, jotka voidaan helposti ohittaa. Viimeiseksi, API hämärtää sähköpostiosoitteet tähdellä.
otti yhteyttä OnePlusiin kommentteja varten, mutta ei saanut vastausta lehdistöaikaan mennessä.
