![Aplikacja OnePlus wyciekła „setki” adresów e-mail - Aktualności Aplikacja OnePlus wyciekła „setki” adresów e-mail - Aktualności](https://a.23rdpta.org/news/oneplus-app-leaked-hundreds-of-email-addresses-1.jpg)
- Aplikacja Shot on OnePlus zawiera lukę w zabezpieczeniach.
- Błąd ujawnił nazwy użytkowników, kraje i adresy e-mail.
- OnePlus rozwiązał problem luki w zabezpieczeniach.
Według 9to5Google opublikowany wcześniej raport, błąd bezpieczeństwa spowodował wyciek „setek” adresów e-mail przez aplikację Shot on OnePlus. OnePlus wstępnie instaluje aplikację na OnePlus 7 Pro i innych telefonach OnePlus.
Jak sama nazwa wskazuje, aplikacja Shot on OnePlus pokazuje zdjęcia innych osób i umożliwia przesyłanie własnych. Podczas przesyłania zdjęcia możesz zmienić jego tytuł, lokalizację i opis. Aplikacja OnePlus wymaga zalogowania się, aby móc przesyłać zdjęcia, a użytkownicy mogą zmieniać nazwy swoich profilów, kraje i adresy e-mail w aplikacji i witrynie.
Niestety, 9to5Google znalazłem interfejs API - używany głównie do uzyskiwania publicznych zdjęć i tworzenia połączenia między aplikacją a serwerami OnePlus - aby był łatwo dostępny i bez typowych zabezpieczeń API. Interfejs API hostowany na open.oneplus.net jest dostępny dla każdego, kto ma token dostępu i pozornie zawiera poufne dane użytkownika.
Co gorsza, to „gid” w interfejsie API. Gid to kod alfanumeryczny, który pozwala interfejsowi API identyfikować określonych użytkowników. Składa się z dwóch części: dwóch liter, które wskazują, skąd pochodzi użytkownik, oraz unikalnego numeru. Na przykład CN472834 to użytkownik z Chin, a EN593874 to użytkownik z innego miejsca.
Wrażliwy interfejs API używa gid do znajdowania przesłanych zdjęć użytkownika lub usuwania tych zdjęć. Interfejs API używa również identyfikatora gid, aby uzyskać informacje o użytkowniku, takie jak jego imię i nazwisko, kraj i adres e-mail, oraz zaktualizować te informacje.
Jakby nie było wystarczająco źle, możesz przeszukiwać numery gid, aby znaleźć innych użytkowników.
Dobrą wiadomością jest to, że API nie przecieka już adresów gid i e-mail tych, którzy publicznie przesyłają zdjęcia. OnePlus też to zrobił, więc tylko aplikacja Shot on OnePlus korzysta z API 9to5Google notatki, które można łatwo ominąć. Wreszcie interfejs API ukrywa adresy e-mail gwiazdkami.
skontaktował się z OnePlus w sprawie komentarza, ale nie otrzymał odpowiedzi w terminie prasowym.