Direcciones de correo electrónico de usuario perdidas de OnePlus a través de la aplicación 'Shot on OnePlus': Informe

Direcciones de correo electrónico de usuario perdidas de OnePlus a través de la aplicación 'Shot on OnePlus': Informe
5 (100%) 5 votos

Los dispositivos OnePlus vienen precargados con la aplicación 'Shot on OnePlus' que supuestamente conlleva una falla de seguridad que revela las direcciones de correo electrónico de cientos de usuarios. La aplicación ofrece un lugar para cargar fotos que los usuarios de OnePlus pueden presentar como fondos de pantalla a nivel mundial. Sin embargo, la API que establece un enlace entre el servidor OnePlus y la aplicación Shot on OnePlus supuestamente filtraba las direcciones de correo electrónico asociadas con los envíos de fotos. OnePlus recibió información sobre la falla a principios de mayo y, aunque se implementó una solución, se requieren más cambios antes de que esté completamente remendada.

La aplicación Shot on OnePlus, a la que se puede acceder a través del menú de selección de Wallpapers, solicita a los usuarios iniciar sesión con sus direcciones de correo electrónico para cargar fotos. Una vez cargadas, las fotos seleccionadas se publican públicamente a través de la API que se encontró para ofrecer un acceso fácil. Según un informe de 9to5Google, la API requería una clave no cifrada para recuperar un token de acceso que permitiera a las personas ver las direcciones de correo electrónico de los usuarios que subieron sus fotos. La API se alojó en open.oneplus.net.

"No está claro por cuánto tiempo estuvo ocurriendo esta filtración, pero debido a que OnePlus no tuvo ninguna razón para hacer públicos estos datos después de que se publicara la aplicación, creemos que se estaban filtrando datos desde su lanzamiento: varios años, al menos", señala el informe.

Recomendamos:  YouTube La fecha de cierre de la aplicación de juego está programada para el 30 de mayo.

Se utiliza un "gid" en la API para identificar a los usuarios, ayudando a encontrar fotos cargadas y eliminarlas a través del servidor. Sin embargo, incluye dos alfabetos y números únicos que podrían utilizarse para acceder a datos confidenciales, incluidos el nombre, las direcciones de correo electrónico y los países de los usuarios. También podría ser utilizado para modificar esta información.

Inicialmente, OnePlus no respondió a la consulta de correo electrónico enviada por 9to5Google relacionada con los problemas de seguridad, pero luego proporcionó una declaración: "OnePlus toma la seguridad en serio, e investigamos todos los informes que recibimos". Sin embargo, silenciosamente ha realizado una lista de cambios en la API para corregir las fallas en las direcciones de correo electrónico, aunque 9to5Google informa que las correcciones hechas a la API para la falla del gid pueden omitirse; una actualización agrega que también aparece una corrección para esto. para estar en las obras, con modificación vía gid actualmente bloqueada. La compañía también ha ocultado las direcciones de correo electrónico disponibles a través de la API al agregar asteriscos a sus partes locales y hacer que solo la parte del dominio sea visible.

Afortunadamente, no han aparecido en línea informes de explotación de detalles de usuarios a través de la falla de seguridad. También se espera que OnePlus utilice el descubrimiento como una experiencia de aprendizaje para implementar medidas de seguridad más sólidas en sus ofertas. Nos comunicamos con OnePlus para aclarar la solución y actualizaremos este espacio cuando recibamos una respuesta.

Esto no fue la primera vez que se detectó un problema de seguridad en los dispositivos OnePlus. En octubre de 2017, la empresa con sede en Shenzhen se enfrentó a una reacción violenta del público por un problema dentro de OxygenOS que lo ayudó a recopilar datos no anónimos sin el consentimiento del usuario. La compañía también estuvo en los titulares el año pasado por una vulnerabilidad del cargador de arranque en OnePlus 6
que recibió una solución en breve.

Recomendamos:  Cómo hacer formularios de suscripción por correo electrónico para móviles (nuestro #1 Consejos)

.

Dejános tus Comentarios: