- Ứng dụng Shot on OnePlus chứa một lỗ hổng bảo mật.
- Lỗ hổng tiếp xúc với người dùng tên, quốc gia và địa chỉ email.
- OnePlus phần nào giải quyết lỗ hổng bảo mật.
Theo một 9to5Google báo cáo được công bố trước đó hôm nay, một lỗ hổng bảo mật đã khiến cho hàng trăm địa chỉ email bị rò rỉ thông qua ứng dụng Shot on OnePlus. OnePlus cài đặt sẵn ứng dụng trên OnePlus 7 Pro và các điện thoại OnePlus khác.
Đúng như tên gọi, Shot on OnePlus hiển thị cho người khác những bức ảnh khác và cho phép bạn tải lên ảnh của riêng mình. Khi bạn tải lên một bức ảnh, bạn có thể thay đổi tiêu đề, vị trí và mô tả của nó. Chụp trên OnePlus yêu cầu đăng nhập để tải lên ảnh, với người dùng có thể thay đổi tên hồ sơ, quốc gia và địa chỉ email trong ứng dụng và trang web.
Không may, 9to5Google đã tìm thấy một API - chủ yếu được sử dụng để lấy ảnh công khai và tạo liên kết giữa ứng dụng và máy chủ OnePlus, - để dễ dàng truy cập và không có chứng khoán API điển hình. Được lưu trữ trên open.oneplus.net, API có thể truy cập được đối với bất kỳ ai có mã thông báo truy cập và dường như chứa dữ liệu người dùng nhạy cảm.
Làm cho vấn đề tồi tệ hơn là các gid trực tiếp trong API. Gid là một mã chữ số cho phép API xác định người dùng cụ thể. Nó bao gồm hai phần: hai chữ cái tiết lộ người dùng đến từ đâu và một số duy nhất. Ví dụ: CN472834 là người dùng từ Trung Quốc và EN593874 là người dùng từ nơi khác.
API dễ bị tổn thương sử dụng gid để tìm người dùng đã tải lên ảnh hoặc xóa ảnh đã nói. API cũng sử dụng gid để lấy thông tin của người dùng, như tên, quốc gia và email của họ và cập nhật thông tin đó.
Như thể điều đó không đủ tệ, bạn có thể quay vòng qua một số gid để tìm người dùng khác.
Tin vui là API không còn rò rỉ địa chỉ email và địa chỉ email của những người công khai tải ảnh lên. OnePlus cũng đã làm cho nó để chỉ ứng dụng Shot on OnePlus sử dụng API, mặc dù 9to5Google ghi chú có thể dễ dàng bỏ qua. Cuối cùng, API che khuất địa chỉ email bằng dấu hoa thị.
đã liên hệ với OnePlus để nhận xét nhưng không nhận được phản hồi bằng thời gian báo chí.
