Смартфони OnePlus зливають особисті дані користувачів

У смартфонах компанії OnePlus виявили досить серйозний недолік у безпеці, за допомогою якого хакери можуть отримати доступ до особистих даних користувачів. І пов'язана уразливість з фірмовим додатком Shot on OnePlus.

Що це таке

Shot on OnePlus - це додаток, що дозволяє додавати свої фотографії до списку заставок. Тобто ви наклацали на відпочинку кілька хороших знімків, завантажили їх в галерею Shot on OnePlus - і будь-який бажаючий може встановити ваше фото в якості шпалер.

У чому уразливість

Щоб завантажити знімок, вам необхідно увійти у свій профіль, вказавши ім'я, країну проживання та адресу електронної пошти. Спеціальний ідентифікатор перетворює інформацію на код, який складається з двох букв та шести цифр. Букви вказують на країну проживання (наприклад, CN - Китай), цифри визначаються автоматично.

Але за допомогою відкритого API, розміщеного на open.oneplus.net, і маркера доступу можна отримати доступ до даних інших користувачів, а методом простого перебору цифр можна не лише отримати інформацію про інших користувачів, але ще й редагувати її.

Як довго була ця уразливість - невідомо. Але після публікації 9to5google OnePlus внесла зміни до API і стала приховувати частину електронної адреси при перегляді зі сторонніх акаунтів.

Джерело: 9to5google