- Приложение Shot on OnePlus содержит уязвимость системы безопасности.
- Недостаток раскрыл имена пользователей, страны и адреса электронной почты.
- OnePlus несколько устранил недостатки безопасности.
Согласно 9to5Google В отчете, опубликованном ранее сегодня, был обнаружен недостаток безопасности, вызвавший утечку сотен адресов электронной почты через приложение Shot on OnePlus. OnePlus предварительно устанавливает приложение на OnePlus 7 Pro и других телефонах OnePlus.
Как следует из названия, Shot on OnePlus показывает фотографии других людей и позволяет загружать свои собственные. Когда вы загружаете фотографию, вы можете изменить ее название, местоположение и описание. Для съемки на OnePlus требуется логин для загрузки фотографий, чтобы пользователи могли изменять имена своих профилей, страны и адреса электронной почты в приложении и на веб-сайте.
К несчастью, 9to5Google нашел API - в основном используемый для получения общедоступных фотографий и создания связи между приложением и серверами OnePlus - для обеспечения легкого доступа и без типичных ценных бумаг API. Размещенный на open.oneplus.net, API доступен любому, у кого есть токен доступа, и, по-видимому, содержит конфиденциальные данные пользователя.
Хуже всего то, что «API» в API. Gid представляет собой буквенно-цифровой код, который позволяет API идентифицировать конкретных пользователей. Он состоит из двух частей: две буквы, которые показывают, откуда пользователь, и уникальный номер. Например, CN472834 - пользователь из Китая, а EN593874 - пользователь из других стран.
Уязвимый API использует гид для поиска загруженных фотографий пользователя или удаления указанных фотографий. API также использует gid для получения информации о пользователе, такой как его имя, страна и адрес электронной почты, и для обновления этой информации.
Как будто это было не так уж и плохо, вы можете переключаться между номерами гидов, чтобы найти других пользователей.
Хорошей новостью является то, что API больше не пропускает gid и адреса электронной почты тех, кто публично загружает фотографии. OnePlus также сделал это так, что только приложение Shot on OnePlus использует API, хотя 9to5Google заметки, которые можно легко обойти. Наконец, API скрывает адреса электронной почты звездочками.
обратился к OnePlus за комментарием, но не получил ответ по времени прессы.