Додаток OnePlus просочився "сотнями" електронних адрес

Автор: Monica Porter
Дата Створення: 19 Березень 2021
Дата Оновлення: 5 Липня 2024
Anonim
Додаток OnePlus просочився "сотнями" електронних адрес - Новини
Додаток OnePlus просочився "сотнями" електронних адрес - Новини


  • Додаток Shot on OnePlus містить ваду безпеки.
  • Недолік виявив імена користувачів, країни та адреси електронної пошти.
  • OnePlus дещо вирішив недолік безпеки.

Згідно з a 9to5Google У звіті, опублікованому раніше, недолік безпеки спричинив просочення "сотні" адрес електронної пошти через додаток Shot on OnePlus. OnePlus попередньо встановлює додаток на OnePlus 7 Pro та інших телефонах OnePlus.

Як випливає з назви, Shot on OnePlus показує фотографії інших людей і дозволяє завантажувати свої власні. Завантажуючи фотографію, ви можете змінити її назву, місцезнаходження та опис. Зйомка на OnePlus вимагає входу в систему для завантаження фотографій. Користувачі можуть змінювати імена своїх профілів, країни та адреси електронної пошти в додатку та веб-сайті.

На жаль, 9to5Google знайшов API - в основному використовується для отримання публічних фотографій та встановлення зв’язку між додатком та серверами OnePlus - для легкого доступу та без типових цінних паперів API. Розміщений на open.oneplus.net, API доступний для всіх, хто має маркер доступу, і, здавалося б, містить чутливі дані користувачів.


Погіршення питань - це "gid" в API. Gid - це буквено-цифровий код, який дозволяє API ідентифікувати конкретних користувачів. Він складається з двох частин: двох літер, які розкривають, звідки користувач, і унікального номера. Наприклад, CN472834 є користувачем з Китаю, а EN593874 - користувачем з іншого місця.

Вразливий API використовує gid, щоб знайти завантажені користувачем фотографії або видалити ці фотографії. API також використовує gid для отримання інформації користувача, наприклад, його імені, країни та електронної пошти, та оновлення цієї інформації.

Начебто це було недостатньо погано, ви можете переглядати номери gid, щоб знайти інших користувачів.

Хороша новина - API більше не просочує гід та електронні адреси тих, хто публічно завантажує фотографії. OnePlus також зробив це, тому лише додаток Shot on OnePlus використовує API 9to5Google нотатки, які можна легко обійти. Нарешті, API затінює електронні адреси зірочками.

звернувся до OnePlus для коментаря, але не отримав відповіді в прес-час.


Немає Motorola Moto Z4 Force в 2019 році, за Motorola

John Stephens

Липня 2024

Деякі шанувальники Motorola були розчаровані пропозицією середнього класу - Motorola Moto Z4. Однак, мабуть, сподіваються, що компанія може запропонувати Motorola Moto Z4 Force або інший більш високий...

Ціна, дата випуску та угоди Motorola Moto Z4

John Stephens

Липня 2024

Оновлення: 13 червня 2019 року о 11:54 вечора ET: Moto Z4 тепер доступний для придбання у Motorola, Amazon, Verizon та інших торгових мереж. Перевірте це за посиланнями нижче!...

Нові Повідомлення
  • Попередження з’являться для програм Android, які не орієнтовані на Oreo або новіші версії до 2020 року

    Попередження з’являться для програм Android, які не орієнтовані на Oreo або новіші версії до 2020 року

    Липня 2024 Peter Berry

  • Huawei Mate 30 і Mate 30 Pro тут: Все, що вам потрібно знати!

    Huawei Mate 30 і Mate 30 Pro тут: Все, що вам потрібно знати!

    Липня 2024 Peter Berry

  • Huawei Mate 30 Pro одержав можливість запису 7680 кадрів в секунду

    Huawei Mate 30 Pro одержав можливість запису 7680 кадрів в секунду

    Липня 2024 Peter Berry