Приложение OnePlus пропустило «сотни» адресов электронной почты

Автор: Monica Porter
Дата создания: 19 Март 2021
Дата обновления: 5 Июль 2024
Anonim
Приложение OnePlus пропустило «сотни» адресов электронной почты - Новости
Приложение OnePlus пропустило «сотни» адресов электронной почты - Новости


  • Приложение Shot on OnePlus содержит уязвимость системы безопасности.
  • Недостаток раскрыл имена пользователей, страны и адреса электронной почты.
  • OnePlus несколько устранил недостатки безопасности.

Согласно 9to5Google В отчете, опубликованном ранее сегодня, был обнаружен недостаток безопасности, вызвавший утечку сотен адресов электронной почты через приложение Shot on OnePlus. OnePlus предварительно устанавливает приложение на OnePlus 7 Pro и других телефонах OnePlus.

Как следует из названия, Shot on OnePlus показывает фотографии других людей и позволяет загружать свои собственные. Когда вы загружаете фотографию, вы можете изменить ее название, местоположение и описание. Для съемки на OnePlus требуется логин для загрузки фотографий, чтобы пользователи могли изменять имена своих профилей, страны и адреса электронной почты в приложении и на веб-сайте.

К несчастью, 9to5Google нашел API - в основном используемый для получения общедоступных фотографий и создания связи между приложением и серверами OnePlus - для обеспечения легкого доступа и без типичных ценных бумаг API. Размещенный на open.oneplus.net, API доступен любому, у кого есть токен доступа, и, по-видимому, содержит конфиденциальные данные пользователя.


Хуже всего то, что «API» в API. Gid представляет собой буквенно-цифровой код, который позволяет API идентифицировать конкретных пользователей. Он состоит из двух частей: две буквы, которые показывают, откуда пользователь, и уникальный номер. Например, CN472834 - пользователь из Китая, а EN593874 - пользователь из других стран.

Уязвимый API использует гид для поиска загруженных фотографий пользователя или удаления указанных фотографий. API также использует gid для получения информации о пользователе, такой как его имя, страна и адрес электронной почты, и для обновления этой информации.

Как будто это было не так уж и плохо, вы можете переключаться между номерами гидов, чтобы найти других пользователей.

Хорошей новостью является то, что API больше не пропускает gid и адреса электронной почты тех, кто публично загружает фотографии. OnePlus также сделал это так, что только приложение Shot on OnePlus использует API, хотя 9to5Google заметки, которые можно легко обойти. Наконец, API скрывает адреса электронной почты звездочками.


обратился к OnePlus за комментарием, но не получил ответ по времени прессы.

Сотовая связь США начнет поддержку 5G во второй половине 2019 года

Randy Alexander

Июль 2024

США Cellular официально бросили свою шляпу на ринг и развернут сеть 5G во второй половине 2019 года.Согласно опубликованному вчера пресс-релизу, США Cellular будет сотрудничать с Ericon в рамках много...

Федеральный суд запретил случайные обыски телефонов и ноутбуков в аэропортах США

Randy Alexander

Июль 2024

Путешествие в и из США в ближайшее время? Меньшая вероятность того, что вы будете подвергнуты случайному поиску по телефону на границе. Бостонский федеральный суд положил конец безысходным поискам эле...

Интересное на сегодня
  • Падение цен! Половина этой светодиодной смарт-лампы и Bluetooth-динамик комбо

    Падение цен! Половина этой светодиодной смарт-лампы и Bluetooth-динамик комбо

    Июль 2024 Monica Porter

  • Продажа подержанного телефона: вот что можно и чего нельзя делать

    Продажа подержанного телефона: вот что можно и чего нельзя делать

    Июль 2024 Monica Porter

  • Вы можете получить 3D саундбар Ambeo от Sennheiser в мае этого года.

    Вы можете получить 3D саундбар Ambeo от Sennheiser в мае этого года.

    Июль 2024 Monica Porter