- Η εφαρμογή Shot on OnePlus περιέχει ένα σφάλμα ασφαλείας.
- Το ελάττωμα εκθέτει τα ονόματα των χρηστών, τις χώρες και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου.
- Το OnePlus αντιμετώπισε κάπως το ελάττωμα ασφαλείας.
Σύμφωνα με α 9to5Google δημοσιεύθηκε νωρίτερα σήμερα, ένα σφάλμα ασφαλείας προκάλεσε διαρροές εκατοντάδων διευθύνσεων ηλεκτρονικού ταχυδρομείου μέσω της εφαρμογής Shot on OnePlus. Το OnePlus προ-εγκαθιστά την εφαρμογή στο OnePlus 7 Pro και σε άλλα τηλέφωνα OnePlus.
Όπως υποδηλώνει το όνομα, το Shot on OnePlus δείχνει φωτογραφίες άλλων ανθρώπων και σας επιτρέπει να ανεβάσετε το δικό σας. Όταν ανεβάζετε μια φωτογραφία, μπορείτε να αλλάξετε τον τίτλο, τη θέση και την περιγραφή. Το Shot on OnePlus απαιτεί σύνδεση για μεταφορτώσεις φωτογραφιών, με τους χρήστες να μπορούν να αλλάξουν τα ονόματα προφίλ τους, τις χώρες και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου μέσα στην εφαρμογή και τον ιστότοπο.
Δυστυχώς, 9to5Google βρήκε ένα API - που χρησιμοποιείται κυρίως για τη λήψη δημόσιων φωτογραφιών και τη σύνδεση μεταξύ της εφαρμογής και των εξυπηρετητών του OnePlus - για εύκολη πρόσβαση και χωρίς τυπικούς τίτλους API. H φιλοξενούμενη στο open.oneplus.net, το API είναι προσβάσιμο σε οποιονδήποτε έχει ένα διακριτικό πρόσβασης και φαινομενικά περιέχει ευαίσθητα δεδομένα χρήστη.
Η χειροτέρευση των ζητημάτων είναι το "gid" στο API. Το gid είναι ένας αλφαριθμητικός κώδικας που επιτρέπει στο API να αναγνωρίζει συγκεκριμένους χρήστες. Αποτελείται από δύο μέρη: δύο γράμματα που αποκαλύπτουν από πού βρίσκεται ένας χρήστης και ένας μοναδικός αριθμός. Για παράδειγμα, το CN472834 είναι χρήστης από την Κίνα και το EN593874 είναι χρήστης από κάπου αλλού.
Το ευπαθές API χρησιμοποιεί το gid για να βρει τις μεταφορτωμένες φωτογραφίες ενός χρήστη ή να διαγράψει τις φωτογραφίες. Το API χρησιμοποιεί επίσης το gid για να αποκτήσει πληροφορίες χρήστη, όπως το όνομα, τη χώρα και το ηλεκτρονικό τους ταχυδρομείο, και να ενημερώσει αυτές τις πληροφορίες.
Σαν να μην ήταν αρκετά κακό, μπορείτε να περιηγηθείτε στους αριθμούς του gid για να βρείτε άλλους χρήστες.
Τα καλά νέα είναι ότι το API δεν διαρρέει πλέον τις διευθύνσεις gid και ηλεκτρονικού ταχυδρομείου εκείνων που ανεβάζουν δημόσια φωτογραφίες. Το OnePlus το έκανε επίσης έτσι ώστε μόνο η εφαρμογή Shot on OnePlus να χρησιμοποιεί το API 9to5Google σημειώνει ότι μπορεί εύκολα να παρακάμψει. Τέλος, το API αποκρύπτει διευθύνσεις ηλεκτρονικού ταχυδρομείου με αστερίσκους.
έφτασε στο OnePlus για σχόλιο αλλά δεν έλαβε απάντηση από τον τύπο.
