OnePlus hat Benutzer-E-Mails in der App „Shot on OnePlus“ (Auf OnePlus geschossen) abgesetzt

OnePlus hat Benutzer-E-Mails in der App "Shot on OnePlus" (Auf OnePlus geschossen) abgesetzt

 

Vor einigen Monaten haben wir eine größere Sicherheitslücke entdeckt, von der viele OnePlus-Benutzer betroffen waren. Das Unternehmen hatte die E-Mail-Adressen von Hunderten seiner Benutzer über die ‘ Shot on OnePlus ’ App. Das wichtigste Problem ist jetzt behoben. Hier finden Sie eine Auflistung der Vorgänge und der noch zu behebenden Probleme in OnePlus.

Auf OnePlus aufgenommen

Wenn Sie ein OnePlus-Gerät haben, ist Ihnen möglicherweise das ‘ Auf OnePlus aufgenommen ’ Anwendung, zugänglich über das Auswahlmenü Hintergründe. Wie der Name vermuten lässt, enthält es Fotos, die von OnePlus-Benutzern hochgeladen wurden, sodass Sie sie als aktuelles Hintergrundbild festlegen können. Jeden Tag erscheint ein neues Foto in der Anwendung.

Benutzer können entweder Fotos von der App selbst oder von einer Website hochladen. In beiden Fällen muss der Benutzer angemeldet sein, um ein Foto hochladen zu können. Benutzer können auch ihr Profil einschließlich Name, Land und E-Mail-Adresse sowohl in der App als auch auf der Website anpassen. Wenn Benutzer ein Foto hochladen, können sie schließlich einen Titel, einen Ort und eine Beschreibung des Fotos definieren. Wenn das Foto ausgewählt ist, wird es öffentlich in der Shot on OnePlus-App und in der Galerie auf ihrer Website angezeigt.

OnePlus hat Benutzer-E-Mails in der App "Shot on OnePlus" (Auf OnePlus geschossen) abgesetzt

====

Hintergrundmenü OnePlus hat Benutzer-E-Mails in der App "Shot on OnePlus" (Auf OnePlus geschossen) abgesetzt Auf OnePlus aufgenommen

Wenn Benutzer ein Foto hochladen, können sie einen Titel eingeben , einen Ort und eine Beschreibung des Fotos. Wenn das Foto von OnePlus ausgewählt wurde, wird es in der Shot on OnePlus-App und in der Galerie auf der Website öffentlich angezeigt.

Was ist falsch gelaufen?

Die Shot on OnePlus-App verwendet eine API, um eine Verbindung zwischen ihrem Server und der App herzustellen. Fotos und andere Informationen, die online gespeichert werden müssen, müssen diese API durchlaufen. Normalerweise wird eine API, insbesondere eine, die zum Abrufen privater Informationen über Benutzer verwendet werden kann, auf verschiedene Arten gesichert.

Stattdessen war und ist die von OnePlus verwendete API recht einfach zugänglich. Ihre API — Gehostet auf open.oneplus.net — kann von jedem mit einem Zugriffstoken verwendet werden. Das Zugriffstoken ist erforderlich, um die meisten Aktionen mit der API auszuführen. Zum Abrufen des Zugriffstokens ist ein unverschlüsselter Schlüssel erforderlich, dies ist jedoch der einzige Zweck. Sowohl das Zugriffstoken als auch der unverschlüsselte Schlüssel sind alphanumerische Codes.

Die API wird hauptsächlich zum Abrufen öffentlicher Fotos verwendet. Aber wie Sie im folgenden Screenshot sehen können — Dies ist eine Antwort, die mithilfe der von OnePlus — Sie könnten sensible Daten finden, die normalerweise nicht öffentlich zugänglich sein sollten. OnePlus hat Benutzer-E-Mails in der App "Shot on OnePlus" (Auf OnePlus geschossen) abgesetzt

(Um die Identität des Nutzers zu schützen, wurde jedes Feld, das zur Identifizierung dieser Person führen würde, unscharf dargestellt.)

Wie lange dieses Leck aufgetreten ist. Da OnePlus jedoch keinen Grund hatte, diese Daten nach dem Erscheinen der Anwendung zu veröffentlichen, gehen wir davon aus, dass seit der Veröffentlichung — mindestens mehrere Jahre. Eine der wichtigsten Sicherheitslücken bei diesem Leck hing mit dem zusammen, was OnePlus als “ gid ” bezeichnet.

Was ist die “ Anleitung ” und wie wird sie verwendet?

Die “ Anleitung ” ist ein alphanumerischer Code zur Identifizierung eines Benutzers. Jeder, der sich jemals bei der Shot on OnePlus-App angemeldet hat, hat eine “ gid ” in dieser API. Es besteht aus zwei Teilen:

  • Zwei Buchstaben, die angeben, ob ein Benutzer aus China (CN) oder einem anderen Land (EN) stammt.
  • Eine eindeutige Nummer wie 123456

Diese ID wird von der OnePlus-API verwendet, um von einem bestimmten Benutzer hochgeladene Fotos zu finden oder zu löschen. Es kann auch verwendet werden, um Informationen über diesen Nutzer (Name, E-Mail-Adresse, Land) abzurufen und diese Informationen sogar ohne wirkliche Sicherheit zu aktualisieren .

Es gab auch einen weiteren Fehler. Da es sich bei dem zweiten Teil um eine einfache Nummer handelt, konnten andere Benutzer sehr leicht gefunden werden, indem einfach verschiedene Nummern durchlaufen wurden.

Was hat OnePlus dagegen unternommen?

Wir haben OnePlus wegen dieser Probleme kontaktiert, aber keine direkte Antwort erhalten. Nach unserer E-Mail haben sie jedoch schnell Änderungen an der API vorgenommen, und die GID und E-Mail der Benutzer, deren Fotos öffentlich veröffentlicht werden, werden nicht mehr weitergegeben.

Wie für die “ gid ” Fehler, OnePlus hat einige Teile der API ein bisschen sicherer gemacht. Sie versuchen nun sicherzustellen, dass die API nur von der Shot on OnePlus-App verwendet wird. Dies kann jedoch v seinsehr leicht zu umgehen. Außerdem wird die E-Mail-Adresse jetzt durch Hinzufügen von Sternchen verdeckt, z. B. “ d **** @ 9to5mac.com ”.

Fazit

Dies ist nicht das erste Sicherheitsproblem, mit dem OnePlus auf seinen Geräten konfrontiert ist. Im Jahr 2017 entdeckte Christopher Moore, ein Software-Ingenieur, dass OnePlus persönliche Informationen über Benutzer in einer App sammelte, die für Analysen verwendet wurde. Allerdings sind die von der App gesammelten E-Mails meines Wissens derzeit nicht öffentlich zugänglich.

Bei diesem neuen Problem sollte OnePlus die APIs vollständig überprüfen und die App auf allen Geräten entsprechend aktualisieren. Sie sind sich dieser Mängel seit Anfang Mai bewusst, haben jedoch keine öffentliche Besorgnis gezeigt. Sie mussten nicht offenlegen, dass die E-Mails der Benutzer für jedermann leicht zugänglich waren. Tatsächlich ist es weiterhin möglich, den Namen, die E-Mail-Adresse, die Homepage und den Ländercode eines beliebigen Benutzers zu ändern. Um dies zu beheben, muss OnePlus die API vollständig überarbeiten und das ‘ Shot on OnePlus ’ App.

Wir haben uns an OnePlus gewandt, um einen Kommentar zu dieser Angelegenheit abzugeben. Wir werden ihn aktualisieren, sobald wir davon erfahren.

Update : OnePlus hat zu diesem Thema eine Erklärung abgegeben:

OnePlus nimmt die Sicherheit ernst und untersucht alle erhaltenen Berichte.

Update 2: OnePlus arbeitet an einem Fix für die API. Das Abrufen und Ändern von Kontoinformationen ist derzeit gesperrt. Die folgende Meldung wird angezeigt:

Aktualisieren der Funktionalität. Versuchen Sie es später erneut.

q , quelle

Zusammenhängende Posts:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.