- L'application Shot on OnePlus contient une faille de sécurité.
- La faille exposait les noms des utilisateurs, les pays et les adresses électroniques.
- OnePlus a quelque peu abordé la faille de sécurité.
Selon un 9to5Google Selon un rapport publié plus tôt dans la journée, une faille de sécurité a provoqué la fuite de centaines d'adresses e-mail via l'application Shot on OnePlus. OnePlus pré-installe l'application sur le OnePlus 7 Pro et les autres téléphones OnePlus.
Comme son nom le suggère, Shot on OnePlus affiche les photos des autres utilisateurs et vous permet de télécharger les vôtres. Lorsque vous téléchargez une photo, vous pouvez en modifier le titre, l'emplacement et la description. Shot on OnePlus nécessite un identifiant de connexion pour le téléchargement de photos, les utilisateurs pouvant modifier le nom de leur profil, leur pays et leur adresse électronique dans l'application et sur le site Web.
Malheureusement, 9to5Google Nous avons trouvé une API, principalement utilisée pour obtenir des photos publiques et faire le lien entre l’application et les serveurs OnePlus, de manière à ce qu’elle soit facile d’accès et ne comporte pas de valeurs de sécurité API typiques. Hébergé sur open.oneplus.net, l'API est accessible à toute personne disposant d'un jeton d'accès et contient apparemment des données utilisateur sensibles.
Pire, c’est le «gid» dans l’API. Le gid est un code alphanumérique qui permet à l'API d'identifier des utilisateurs spécifiques. Il est composé de deux parties: deux lettres indiquant l’origine de l’utilisateur et un numéro unique. Par exemple, CN472834 est un utilisateur chinois et EN593874, un utilisateur ailleurs.
L’API vulnérable utilise le gid pour rechercher les photos téléchargées d’un utilisateur ou les supprimer. L’API utilise également le gid pour obtenir les informations d’un utilisateur, telles que son nom, son pays et son courrier électronique, et mettre à jour ces informations.
Comme si cela ne suffisait pas, vous pouvez parcourir les numéros d’un gid pour trouver d’autres utilisateurs.
La bonne nouvelle est que l’API ne perd plus les identifiants gid et les adresses électroniques de ceux qui publient des photos. OnePlus a également fait en sorte que seule l'application Shot on OnePlus utilise l'API, bien que 9to5Google notes qui peuvent être facilement contournées. Enfin, l’API masque les adresses électroniques avec des astérisques.
contacté OnePlus pour obtenir des commentaires, mais n'a pas reçu de réponse dans le délai imparti.
