• แอพ Shot on OnePlus มีข้อบกพร่องด้านความปลอดภัย
• ข้อบกพร่องเปิดเผยชื่อผู้ใช้ประเทศและที่อยู่อีเมล
• OnePlus ค่อนข้างแก้ไขข้อบกพร่องด้านความปลอดภัย

ตามที่ 9to5Google รายงานที่เผยแพร่ก่อนหน้านี้ในวันนี้ข้อบกพร่องด้านความปลอดภัยทำให้เกิดที่อยู่อีเมล“ ร้อย” รั่วไหลผ่านแอพ Shot on OnePlus OnePlus ติดตั้งแอพล่วงหน้าบน OnePlus 7 Pro และโทรศัพท์ OnePlus อื่น ๆ

ตามชื่อที่แนะนำ Shot on OnePlus จะแสดงรูปภาพของคนอื่นและให้คุณอัปโหลดของคุณเอง เมื่อคุณอัพโหลดภาพถ่ายคุณสามารถเปลี่ยนชื่อตำแหน่งและคำอธิบายได้ Shot on OnePlus ต้องการล็อกอินสำหรับการอัพโหลดภาพถ่ายโดยผู้ใช้สามารถเปลี่ยนชื่อโปรไฟล์ประเทศและที่อยู่อีเมลภายในแอพและเว็บไซต์

น่าเสียดาย, 9to5Google พบ API - ส่วนใหญ่ใช้เพื่อรับรูปภาพสาธารณะและสร้างลิงก์ระหว่างแอปและเซิร์ฟเวอร์ OnePlus เพื่อให้เข้าถึงได้ง่ายและไม่มีหลักทรัพย์ API ทั่วไป โฮสต์บน open.oneplus.net API สามารถเข้าถึงได้กับทุกคนที่มีโทเค็นการเข้าถึงและดูเหมือนว่ามีข้อมูลผู้ใช้ที่ละเอียดอ่อน

การทำให้เรื่องแย่ลงคือ“ gid” ใน API gid เป็นรหัสตัวอักษรและตัวเลขที่ช่วยให้ API สามารถระบุผู้ใช้ที่ต้องการได้ ประกอบด้วยสองส่วน: จดหมายสองฉบับที่เปิดเผยว่าผู้ใช้มาจากที่ใดและเป็นหมายเลขเฉพาะ ตัวอย่างเช่น CN472834 เป็นผู้ใช้จากประเทศจีนและ EN593874 เป็นผู้ใช้จากที่อื่น

API ที่มีช่องโหว่นั้นใช้ gid เพื่อค้นหารูปภาพที่ผู้ใช้อัพโหลดหรือลบรูปภาพดังกล่าว API ยังใช้ gid เพื่อรับข้อมูลผู้ใช้เช่นชื่อประเทศและอีเมลและอัปเดตข้อมูลดังกล่าว

ราวกับว่ามันไม่ดีพอคุณสามารถวนไปตามตัวเลข gid เพื่อค้นหาผู้ใช้รายอื่น

ข่าวดีก็คือ API จะไม่รั่วไหล gid และที่อยู่อีเมลของผู้ที่อัปโหลดรูปภาพต่อสาธารณะ OnePlus ยังทำให้เป็นเช่นนั้นเฉพาะแอป Shot on OnePlus เท่านั้นที่ใช้ API 9to5Google โน้ตที่สามารถข้ามได้อย่างง่ายดาย ในที่สุด API ปิดกั้นที่อยู่อีเมลด้วยเครื่องหมายดอกจัน

เข้าถึง OnePlus เพื่อรับความคิดเห็น แต่ไม่ได้รับการตอบกลับตามเวลากด