- แอพ Shot on OnePlus มีข้อบกพร่องด้านความปลอดภัย
- ข้อบกพร่องเปิดเผยชื่อผู้ใช้ประเทศและที่อยู่อีเมล
- OnePlus ค่อนข้างแก้ไขข้อบกพร่องด้านความปลอดภัย
ตามที่ 9to5Google รายงานที่เผยแพร่ก่อนหน้านี้ในวันนี้ข้อบกพร่องด้านความปลอดภัยทำให้เกิดที่อยู่อีเมล“ ร้อย” รั่วไหลผ่านแอพ Shot on OnePlus OnePlus ติดตั้งแอพล่วงหน้าบน OnePlus 7 Pro และโทรศัพท์ OnePlus อื่น ๆ
ตามชื่อที่แนะนำ Shot on OnePlus จะแสดงรูปภาพของคนอื่นและให้คุณอัปโหลดของคุณเอง เมื่อคุณอัพโหลดภาพถ่ายคุณสามารถเปลี่ยนชื่อตำแหน่งและคำอธิบายได้ Shot on OnePlus ต้องการล็อกอินสำหรับการอัพโหลดภาพถ่ายโดยผู้ใช้สามารถเปลี่ยนชื่อโปรไฟล์ประเทศและที่อยู่อีเมลภายในแอพและเว็บไซต์
น่าเสียดาย, 9to5Google พบ API - ส่วนใหญ่ใช้เพื่อรับรูปภาพสาธารณะและสร้างลิงก์ระหว่างแอปและเซิร์ฟเวอร์ OnePlus เพื่อให้เข้าถึงได้ง่ายและไม่มีหลักทรัพย์ API ทั่วไป โฮสต์บน open.oneplus.net API สามารถเข้าถึงได้กับทุกคนที่มีโทเค็นการเข้าถึงและดูเหมือนว่ามีข้อมูลผู้ใช้ที่ละเอียดอ่อน
การทำให้เรื่องแย่ลงคือ“ gid” ใน API gid เป็นรหัสตัวอักษรและตัวเลขที่ช่วยให้ API สามารถระบุผู้ใช้ที่ต้องการได้ ประกอบด้วยสองส่วน: จดหมายสองฉบับที่เปิดเผยว่าผู้ใช้มาจากที่ใดและเป็นหมายเลขเฉพาะ ตัวอย่างเช่น CN472834 เป็นผู้ใช้จากประเทศจีนและ EN593874 เป็นผู้ใช้จากที่อื่น
API ที่มีช่องโหว่นั้นใช้ gid เพื่อค้นหารูปภาพที่ผู้ใช้อัพโหลดหรือลบรูปภาพดังกล่าว API ยังใช้ gid เพื่อรับข้อมูลผู้ใช้เช่นชื่อประเทศและอีเมลและอัปเดตข้อมูลดังกล่าว
ราวกับว่ามันไม่ดีพอคุณสามารถวนไปตามตัวเลข gid เพื่อค้นหาผู้ใช้รายอื่น
ข่าวดีก็คือ API จะไม่รั่วไหล gid และที่อยู่อีเมลของผู้ที่อัปโหลดรูปภาพต่อสาธารณะ OnePlus ยังทำให้เป็นเช่นนั้นเฉพาะแอป Shot on OnePlus เท่านั้นที่ใช้ API 9to5Google โน้ตที่สามารถข้ามได้อย่างง่ายดาย ในที่สุด API ปิดกั้นที่อยู่อีเมลด้วยเครื่องหมายดอกจัน
เข้าถึง OnePlus เพื่อรับความคิดเห็น แต่ไม่ได้รับการตอบกลับตามเวลากด