OnePlus a accidentellement divulgué des adresses électroniques de son application Shot on OnePlus

OnePlus possède une fonctionnalité peu connue fournie avec ses téléphones appelée “Shot on OnePlus”. C'est un moyen pour les gens de montrer les photos qu'ils prennent sur leur téléphone en les mettant à la disposition des autres utilisateurs de OP en tant que fonds d'écran. Cependant, OnePlus aurait conçu son API de telle sorte qu'il soit facile pour quelqu'un de collecter les adresses électroniques de Shot on OnePlus.

Les utilisateurs peuvent télécharger des photos sur Shot on OnePlus depuis le téléphone ou via un site Web. Dans les deux cas, vous devez d'abord vous connecter. Cela signifie qu’une adresse électronique est associée à vos photos. L’API du service était censément facile d’accès pour tous les détenteurs du jeton droit, hébergé sur open.oneplus.net. Vous aurez besoin d'une clé pour obtenir le jeton, mais celui-ci n'est pas chiffré et consiste en une simple chaîne alphanumérique. Il était donc très facile pour quelqu'un d'entrer dans l'API s'ils le voulaient vraiment. Les codes “gid” utilisés pour identifier les utilisateurs étaient également ouverts, il était donc possible de supprimer ou de modifier les données des utilisateurs une fois que vous en aviez. Un attaquant pourrait également parcourir les numéros de gid pour obtenir des données sur d'autres utilisateurs.

Après avoir reçu un avertissement, OnePlus a apparemment rendu plus difficile l'accès à l'API sans passer par le service Shot on OnePlus. Les adresses électroniques sont également masquées par des astérisques. Ce n'est pas vraiment encourageant de voir ce type de sécurité laxiste, mais cela a probablement touché quelques centaines de personnes au plus. Il n'y a pas non plus de confirmation d'une quelconque exploitation de la faille dans la nature. Ce n'est pas une fonctionnalité très populaire, ce qui est une chance pour OnePlus.

Tags

Leave a Reply

Your e-mail address will not be published. Required fields are marked *

Close
Close