• Ang Shot sa OnePlus app ay naglalaman ng isang security flaw.
• Ang mga kapintasan na nakalantad ang mga pangalan, bansa, at mga email address.
• Ang OnePlus ay medyo hinarap ang security flaw.

Ayon sa a 9to5Google ulat na nai-publish nang mas maaga ngayon, isang security flaw sanhi "daan-daang" ng mga email address na tumagas sa pamamagitan ng Shot sa OnePlus app. Paunang-install ng OnePlus ang app sa OnePlus 7 Pro at iba pang mga telepono ng OnePlus.

Tulad ng iminumungkahi ng pangalan, ang Shot sa OnePlus ay nagpapakita ng mga larawan ng ibang tao at hinahayaan kang mag-upload ng iyong sarili. Kapag nag-upload ka ng isang larawan, maaari mong baguhin ang pamagat, lokasyon, at paglalarawan nito. Ang pag-shot sa OnePlus ay nangangailangan ng pag-login para sa pag-upload ng larawan, kasama ang mga gumagamit na maaaring baguhin ang kanilang mga pangalan ng profile, mga bansa, at mga email address sa loob ng app at website.

Sa kasamaang palad, 9to5Google natagpuan ang isang API - pangunahing ginagamit upang makakuha ng mga pampublikong larawan at gawin ang link sa pagitan ng mga app at mga server ng OnePlus - upang maging madaling ma-access at walang tipikal na mga security sec. Naka-host sa open.oneplus.net, maa-access ang API sa sinumang may isang token ng pag-access at tila naglalaman ng sensitibong data ng gumagamit.

Ang pagpapalala ng mga bagay ay ang "gid" sa API. Ang gid ay isang alphanumerical code na nagpapahintulot sa API na tukuyin ang mga tukoy na gumagamit. Binubuo ito ng dalawang bahagi: dalawang titik na nagpapakita kung saan nagmula ang isang gumagamit at isang natatanging numero. Halimbawa, ang CN472834 ay isang gumagamit mula sa Tsina at ang EN593874 ay isang gumagamit mula sa ibang lugar.

Ginagamit ng mahina ang API upang maghanap upang mai-upload ang mga larawan ng isang gumagamit o tanggalin ang sinabi ng mga larawan. Ginagamit din ng API ang gid upang makakuha ng impormasyon ng isang gumagamit, tulad ng kanilang pangalan, bansa, at email, at i-update ang impormasyong ito.

Tulad ng hindi sapat na masamang iyon, maaari kang mag-ikot sa mga numero ng isang gididiskubre upang makahanap ng iba pang mga gumagamit.

Ang mabuting balita ay ang API ay hindi na tumagas sa mga ad at email address ng mga taong nag-upload ng mga larawan sa publiko. Ginagawa din ito ng OnePlus kaya tanging ang Shot sa OnePlus app ang gumagamit ng API, bagaman 9to5Google mga tala na maaaring madaling bypass. Sa wakas, ang API ay nagtago ng mga email address sa mga asterisk.

umabot sa OnePlus para magkomento ngunit hindi nakatanggap ng tugon sa pamamagitan ng oras ng pindutin.