- Appen Shot on OnePlus indeholder en sikkerhedsfejl.
- Fejlen udsatte brugernes navn, lande og e-mail-adresser.
- OnePlus behandlede noget sikkerhedsfejlen.
I henhold til 9to5Google rapport offentliggjort tidligere i dag, forårsagede en sikkerhedsfejl, at "hundredvis af" e-mail-adresser lækkede gennem Shot på OnePlus-appen. OnePlus forinstallerer appen på OnePlus 7 Pro og andre OnePlus-telefoner.
Som navnet antyder viser Shot på OnePlus andre menneskers fotos og lader dig uploade dine egne. Når du uploader et foto, kan du ændre dets titel, placering og beskrivelse. Optaget på OnePlus kræver et login til foto uploads, hvor brugere kan ændre deres profilnavne, lande og e-mail-adresser i appen og webstedet.
Desværre, 9to5Google fandt en API - hovedsageligt brugt til at få offentlige fotos og gøre linket mellem app og OnePlus 'servere - til at være let tilgængeligt og uden typiske API-værdipapirer. Hostet på open.oneplus.net er API'en tilgængelig for alle med et adgangstoken og tilsyneladende indeholder følsomme brugerdata.
Forværring af ting er "gid" i API'et. Gid'en er en alfanumerisk kode, der lader API'en identificere specifikke brugere. Det består af to dele: to bogstaver, der afslører, hvor en bruger er fra, og et unikt tal. For eksempel er CN472834 en bruger fra Kina, og EN593874 er en bruger fra et andet sted.
Det sårbare API bruger gid'en til at finde en brugers uploadede fotos eller slette de nævnte fotos. API'en bruger også gidet til at få en brugers oplysninger, såsom deres navn, land og e-mail, og opdatere disse oplysninger.
Som om det ikke var dårligt nok, kan du gennemgå et gid-nummer for at finde andre brugere.
Den gode nyhed er, at API ikke lækker gid og e-mail-adresser for dem, der offentligt uploader fotos. OnePlus gjorde det også, så kun Shot på OnePlus-appen bruger API'en 9to5Google noter, der let kan omgås. Endelig skjuler API e-mail-adresser med stjerner.
kontaktede OnePlus for kommentar, men modtog ikke et svar inden pressetid.