- Апликација Схот он ОнеПлус садржи грешку у сигурности.
- Пропуст је изложио имена корисника, земље и адресе е-поште корисника.
- ОнеПлус се донекле позабавио недостатком безбедности.
Према а 9то5Гоогле извештај објављен раније данас, пропуст у безбедности проузроковао је да ће стотине адреса е-поште процурити кроз апликацију Схот он ОнеПлус. ОнеПлус унапред инсталира апликацију на ОнеПлус 7 Про и друге ОнеПлус телефоне.
Као што име сугерира, Схот он ОнеПлус приказује фотографије других људи и омогућава вам да отпремите своје. Када отпремите фотографију, можете да промените њен наслов, локацију и опис. Снимљено на ОнеПлус-у захтева пријаву за отпрему фотографија, при чему корисници могу да мењају имена свог профила, државе и адресе е-поште у оквиру апликације и веб локације.
Нажалост, 9то5Гоогле пронашли АПИ - који се углавном користи за добијање јавних фотографија и успостављање везе између апликације и ОнеПлус сервера - да буде једноставан за приступ и без типичних АПИ хартија од вредности. Хостиран на опен.онеплус.нет, АПИ је доступан свима који имају приступни токен и наизглед садрже осетљиве корисничке податке.
Погоршање ствари је „гид“ у АПИ-ју. Гид је алфанумерички код који АПИ-ју омогућава да идентификује одређене кориснике. Састоји се од два дела: два слова која откривају одакле је корисник и јединствени број. На пример, ЦН472834 је корисник из Кине, а ЕН593874 је корисник однекуд.
Рањиви АПИ користи гид да би пронашао корисникове пренесене фотографије или избрисао поменуте фотографије. АПИ такође користи гид за добијање корисничких информација, као што су њихово име, земља и адреса е-поште, и ажурирање тих информација.
Као да то није довољно лоше, можете прелистати гидове бројеве да бисте пронашли друге кориснике.
Добра вест је да АПИ више не цури гид и адресе е-поште оних који јавно учитају фотографије. ОнеПлус је такође направио, тако да само апликација Схот он ОнеПлус користи АПИ 9то5Гоогле белешке које се могу лако заобићи. Коначно, АПИ закрива адресе е-поште звездицама.
контактирао је ОнеПлус за коментар, али није добио одговор у време штампе.