• Shot on OnePlus-appen inneholder en sikkerhetsfeil.
• Feilen utsatte brukernes navn, land og e-postadresser.
• OnePlus adresserte noe sikkerhetsfeilen.

I følge a 9to5Google rapporten som ble publisert tidligere i dag, fikk en sikkerhetsfeil "hundrevis av" e-postadresser til å lekke gjennom Shot på OnePlus-appen. OnePlus forhåndsinstallerer appen på OnePlus 7 Pro og andre OnePlus-telefoner.

Som navnet antyder, viser Shot på OnePlus andre menneskers bilder og lar deg laste opp dine egne. Når du laster opp et bilde, kan du endre tittel, beliggenhet og beskrivelse. Skutt på OnePlus krever innlogging for fotoopplastinger, med brukere som kan endre profilnavn, land og e-postadresser i appen og nettstedet.

Dessverre, 9to5Google fant en API - hovedsakelig brukt for å få offentlige bilder og gjøre koblingen mellom appen og OnePlus ’servere - for å være lett tilgjengelig og uten typiske API-verdipapirer. APIen, som er hostet på open.oneplus.net, er tilgjengelig for alle med tilgangstoken og tilsynelatende inneholder sensitive brukerdata.

Å gjøre saken verre er "gid" i API. Gid-en er en alfanumerisk kode som lar API identifisere spesifikke brukere. Den består av to deler: to bokstaver som avslører hvor en bruker er fra og et unikt nummer. For eksempel er CN472834 en bruker fra Kina og EN593874 er en bruker fra et annet sted.

Det sårbare API bruker gid for å finne en brukers opplastede bilder eller slette nevnte bilder. API-en bruker også gidet for å få brukerens informasjon, for eksempel navn, land og e-post, og oppdatere informasjonen.

Som om det ikke var ille nok, kan du bla gjennom et gid-nummer for å finne andre brukere.

Den gode nyheten er at API ikke lekker ut gid og e-postadresser til de som offentlig laster opp bilder. OnePlus gjorde det også slik at bare Shot på OnePlus-appen bruker APIen 9to5Google notater som lett kan omgås. Endelig skjuler API e-postadresser med stjerner.

nådde OnePlus for kommentar, men fikk ikke svar innen pressetid.