OnePlus filtró accidentalmente direcciones de correo electrónico de su aplicación Shot on OnePlus

5
OnePlus filtró accidentalmente direcciones de correo electrónico de su aplicación Shot on OnePlus
5 (100%) 5 votos

OnePlus tiene una característica poco conocida incluida con sus teléfonos llamados "Shot on OnePlus". Es una forma en que las personas pueden mostrar las fotos que toman en sus teléfonos al ponerlas a disposición de otros usuarios de OP como fondos de pantalla. Sin embargo, OnePlus supuestamente diseñó su API de tal manera que es fácil para alguien recopilar direcciones de correo electrónico de Shot on OnePlus.

Los usuarios pueden cargar fotos a Shot on OnePlus desde el teléfono o mediante un sitio web. En cualquier caso, necesita iniciar sesión primero. Eso significa que hay una dirección de correo electrónico asociada con tus envíos de fotos. La API para el servicio fue supuestamente fácil de acceder para cualquier persona con el token correcto, alojado en open.oneplus.net. Necesitaría una clave para obtener el token, pero no estaba cifrada y consistía en una simple cadena alfanumérica. Por lo tanto, era trivialmente fácil para alguien ingresar a la API si realmente lo deseaba. Los códigos "gid" utilizados para identificar a los usuarios también estaban a la vista, por lo que fue posible raspar o modificar los datos del usuario una vez que se obtuvo eso. Un atacante también podría recorrer los números de gid para obtener datos de otros usuarios.

Después de obtener un heads-up, OnePlus aparentemente dificultó el acceso a la API sin pasar por el servicio Shot on OnePlus. Las direcciones de correo electrónico también están ofuscadas con asteriscos ahora. No es exactamente alentador ver este tipo de seguridad laxa, pero probablemente afectó a unos cientos de personas como máximo. Tampoco hay confirmación de ninguna explotación en la naturaleza de la falla. Esta no es una característica muy popular, que es una suerte para OnePlus.