In der OnePlus-App sind Hunderte von E-Mail-Adressen aufgetaucht

Autor: Monica Porter
Erstelldatum: 19 Marsch 2021
Aktualisierungsdatum: 5 Juli 2024
Anonim
iCrimax wird um 100 Euro PSN Guthaben gescammt
Video: iCrimax wird um 100 Euro PSN Guthaben gescammt


  • Die Shot on OnePlus-App enthält eine Sicherheitslücke.
  • Der Fehler enthüllte die Namen, Länder und E-Mail-Adressen der Benutzer.
  • OnePlus hat die Sicherheitslücke ein wenig geschlossen.

Nach a 9to5Google Der heute veröffentlichte Bericht hat aufgrund einer Sicherheitslücke dazu geführt, dass „Hunderte“ E-Mail-Adressen über die Shot on OnePlus-App übertragen wurden. OnePlus installiert die App auf dem OnePlus 7 Pro und anderen OnePlus-Telefonen vor.

Wie der Name schon sagt, werden in Shot on OnePlus die Fotos anderer Personen angezeigt und Sie können Ihre eigenen Fotos hochladen. Wenn Sie ein Foto hochladen, können Sie dessen Titel, Speicherort und Beschreibung ändern. Für die Aufnahme in OnePlus ist eine Anmeldung zum Hochladen von Fotos erforderlich. Benutzer können ihre Profilnamen, Länder und E-Mail-Adressen in der App und auf der Website ändern.


Unglücklicherweise, 9to5Google fanden heraus, dass eine API, die hauptsächlich zum Abrufen öffentlicher Fotos und zum Herstellen der Verbindung zwischen der App und den OnePlus-Servern verwendet wird, leicht zugänglich und ohne typische API-Sicherheiten ist. Die auf open.oneplus.net gehostete API ist für jeden mit einem Zugriffstoken zugänglich und enthält anscheinend vertrauliche Benutzerdaten.

Was die Sache noch verschlimmert, ist die "gid" in der API. Die GID ist ein alphanumerischer Code, mit dem die API bestimmte Benutzer identifiziert. Es besteht aus zwei Teilen: zwei Buchstaben, aus denen hervorgeht, woher ein Benutzer stammt, und einer eindeutigen Nummer. Beispielsweise ist CN472834 ein Benutzer aus China und EN593874 ein Benutzer von einer anderen Stelle.

Die anfällige API verwendet die GID, um die hochgeladenen Fotos eines Benutzers zu finden oder diese Fotos zu löschen. Die API verwendet die GID auch, um Benutzerinformationen wie Name, Land und E-Mail-Adresse abzurufen und diese Informationen zu aktualisieren.


Als wäre das nicht schlimm genug, könnten Sie durch die Nummern eines Gids blättern, um andere Benutzer zu finden.

Die gute Nachricht ist, dass die API die Gid- und E-Mail-Adressen derjenigen, die öffentlich Fotos hochladen, nicht mehr verliert. OnePlus hat es auch so gemacht, dass nur die Shot on OnePlus-App die API verwendet 9to5Google Notizen, die leicht umgangen werden können. Schließlich verdeckt die API E-Mail-Adressen mit Sternchen.

OnePlus wurde um einen Kommentar gebeten, erhielt jedoch zum Zeitpunkt der Drucklegung keine Antwort.

So hören Sie John Legend als Google Assistant-Stimme

John Stephens

Juli 2024

Wenn ie in den UA leben, wird der Chat mit Google Aitant flüiger al gewöhnlich. Ab heute können ie dem Google Aitant die timme von John Legend geben....

Der Sicherheitspatch vom Juli 2019 wird jetzt für Pixel- und Essential-Telefone bereitgestellt

John Stephens

Juli 2024

Update, 1. Juli 2019 (14:10 ET):Eential hat damit begonnen, den icherheitpatch für da Eential Phone im Juli bereitzutellen. Leider ieht e o au, al ob da Firmware-Update diee Monat nur Fehlerkorre...

Interessante Beiträge
  • Facebook erwägt das Entfernen von Like-Zählungen von der Plattform

    Facebook erwägt das Entfernen von Like-Zählungen von der Plattform

    Juli 2024 Laura McKinney

  • Es ist ein paar Wochen her, also hier ist ein weiterer Facebook-Sicherheitsskandal

    Es ist ein paar Wochen her, also hier ist ein weiterer Facebook-Sicherheitsskandal

    Juli 2024 Laura McKinney

  • Facebook bezahlt Nutzer für die Installation der invasiven Forschungs-App (aktualisiert)

    Facebook bezahlt Nutzer für die Installation der invasiven Forschungs-App (aktualisiert)

    Juli 2024 Laura McKinney