• Shot on OnePlusアプリにはセキュリティ上の欠陥があります。
• この欠陥により、ユーザーの名前、国、およびメールアドレスが公開されました。
• OnePlusは、セキュリティの欠陥にある程度対処しました。

によると 9to5Google 本日公開されたレポートでは、セキュリティ上の欠陥により、「数百」のメールアドレスがShot on OnePlusアプリから漏洩しました。 OnePlusは、OnePlus 7 Proおよびその他のOnePlus電話にアプリをプレインストールします。

名前が示すように、Shot on OnePlusは他の人の写真を表示し、自分の写真をアップロードできます。写真をアップロードするときに、タイトル、場所、説明を変更できます。 Shot on OnePlusでは、写真をアップロードするためにログインが必要です。ユーザーは、アプリとWebサイト内でプロフィール名、国、メールアドレスを変更できます。

残念ながら、 9to5Google 主に公開写真を取得し、アプリとOnePlusのサーバー間のリンクを作成するために使用されるAPIが見つかりました。これは、一般的なAPI証券なしで簡単にアクセスできます。 open.oneplus.netでホストされているこのAPIは、アクセストークンを使用してだれでもアクセスでき、機密のユーザーデータが含まれているようです。

さらに悪いことは、APIの「gid」です。 gidは、APIが特定のユーザーを識別することができる英数字コードです。これは2つの部分で構成されます。ユーザーの出身地を示す2つの文字と一意の番号です。たとえば、CN472834は中国のユーザーであり、EN593874は他の場所のユーザーです。

脆弱なAPIはgidを使用して、ユーザーのアップロードされた写真を見つけるか、その写真を削除します。 APIはgidを使用して、名前、国、メールなどのユーザーの情報を取得し、その情報を更新します。

それだけでは十分ではないかのように、Gidの番号を繰り返して他のユーザーを見つけることができます。

良いニュースは、APIが写真を公開する人のgidと電子メールアドレスを漏らしなくなったことです。 OnePlusも作成したため、Shot on OnePlusアプリのみがAPIを使用しています 9to5Google 簡単にバイパスできるメモ。最後に、APIはアスタリスクで電子メールアドレスを隠します。

コメントを求めてOnePlusに連絡しましたが、プレス時間までに返信がありませんでした。