Aplikacja OnePlus wyciekła „setki” adresów e-mail

Autor: Monica Porter
Data Utworzenia: 19 Marsz 2021
Data Aktualizacji: 4 Lipiec 2024
Anonim
Aplikacja OnePlus wyciekła „setki” adresów e-mail - Aktualności
Aplikacja OnePlus wyciekła „setki” adresów e-mail - Aktualności


  • Aplikacja Shot on OnePlus zawiera lukę w zabezpieczeniach.
  • Błąd ujawnił nazwy użytkowników, kraje i adresy e-mail.
  • OnePlus rozwiązał problem luki w zabezpieczeniach.

Według 9to5Google opublikowany wcześniej raport, błąd bezpieczeństwa spowodował wyciek „setek” adresów e-mail przez aplikację Shot on OnePlus. OnePlus wstępnie instaluje aplikację na OnePlus 7 Pro i innych telefonach OnePlus.

Jak sama nazwa wskazuje, aplikacja Shot on OnePlus pokazuje zdjęcia innych osób i umożliwia przesyłanie własnych. Podczas przesyłania zdjęcia możesz zmienić jego tytuł, lokalizację i opis. Aplikacja OnePlus wymaga zalogowania się, aby móc przesyłać zdjęcia, a użytkownicy mogą zmieniać nazwy swoich profilów, kraje i adresy e-mail w aplikacji i witrynie.

Niestety, 9to5Google znalazłem interfejs API - używany głównie do uzyskiwania publicznych zdjęć i tworzenia połączenia między aplikacją a serwerami OnePlus - aby był łatwo dostępny i bez typowych zabezpieczeń API. Interfejs API hostowany na open.oneplus.net jest dostępny dla każdego, kto ma token dostępu i pozornie zawiera poufne dane użytkownika.


Co gorsza, to „gid” w interfejsie API. Gid to kod alfanumeryczny, który pozwala interfejsowi API identyfikować określonych użytkowników. Składa się z dwóch części: dwóch liter, które wskazują, skąd pochodzi użytkownik, oraz unikalnego numeru. Na przykład CN472834 to użytkownik z Chin, a EN593874 to użytkownik z innego miejsca.

Wrażliwy interfejs API używa gid do znajdowania przesłanych zdjęć użytkownika lub usuwania tych zdjęć. Interfejs API używa również identyfikatora gid, aby uzyskać informacje o użytkowniku, takie jak jego imię i nazwisko, kraj i adres e-mail, oraz zaktualizować te informacje.

Jakby nie było wystarczająco źle, możesz przeszukiwać numery gid, aby znaleźć innych użytkowników.

Dobrą wiadomością jest to, że API nie przecieka już adresów gid i e-mail tych, którzy publicznie przesyłają zdjęcia. OnePlus też to zrobił, więc tylko aplikacja Shot on OnePlus korzysta z API 9to5Google notatki, które można łatwo ominąć. Wreszcie interfejs API ukrywa adresy e-mail gwiazdkami.


skontaktował się z OnePlus w sprawie komentarza, ale nie otrzymał odpowiedzi w terminie prasowym.

Dodaj uwierzytelnianie odcisków palców do swojej aplikacji za pomocą BiometricPrompt

Lewis Jackson

Lipiec 2024

Użyjmy interfeju API BiometricPrompt, aby utworzyć aplikację, która pozwoli użytkownikowi potwierdzić woją tożamość za pomocą odciku palca.Otwórz Android tudio i utwórz nowy projekt, ko...

Corning pokazuje nam swoje nowe szkło specjalistyczne do noszenia AR

Lewis Jackson

Lipiec 2024

Podcza CE 2019 mieliśmy okazję przetetować nowy prototyp AR do nozenia na ciele, opracowany częściowo przez firmę Corning. Jednym z filarów działalności Corning jet opracowanie Gorilla Gla, kt...

Nasza Rekomendacja
  • Huawei w 2019 roku: pełna moc

    Huawei w 2019 roku: pełna moc

    Lipiec 2024 Peter Berry

  • Składany smartfon Huawei ma zostać zaprezentowany na MWC 2019

    Składany smartfon Huawei ma zostać zaprezentowany na MWC 2019

    Lipiec 2024 Peter Berry

  • Prezes AT&T mówi ostro o Huawei, 5G i „jest ostrożny”

    Prezes AT&T mówi ostro o Huawei, 5G i „jest ostrożny”

    Lipiec 2024 Peter Berry