В фирменном приложении OnePlus обнаружилась уязвимость, касающаяся пользовательских данных

Shot on OnePlus – это одна из функций, созданная производителем для того, чтобы рекламировать качество съёмки своих флагманских телефонов. Она существует уже несколько лет и позволяет талантливым пользователям делиться своими фото через веб-сайт OnePlus или приложение на своём устройстве. Однако, теперь выяснилось, что этот ресурс мог быть угрозой конфиденциальности и безопасности данных пользователей в течение долгого времени.

Блог 9to5Google расследовал этот вопрос в течение последних месяцев и недавно опубликовал свои выводы по этому вопросу. Интерфейс Shot on OnePlus, отправлял данные, предоставленные пользователями (через приложение для смартфона), на свои серверы для авторизации. Однако, в итоге выяснилось, что любой, имеющий доступ к этому интерфейсу, мог просматривать электронные адреса и ID пользователей.

Естественно, проблемы не было бы, если бы данные и токены, необходимые для идентификации, были хорошо зашифрованы. Тем не менее, 9to5Google утверждает, что и те, и другие были представлены обычными буквенно-цифровыми кодами. Таким образом, сотрудники блога смог получить доступ к персональным данным, включая действительный адрес электронной почты, и войти в учётную запись Shot on OnePlus.

Эти данные и уникальный номер, присваиваемый каждому участнику Shot on OnePlus, четко просматривались в ответе интерфейса. Сотрудники 9to5Google сообщили, что эта уязвимость вполне могла существовать с первого дня работы Shot on OnePlus.

С другой стороны, как только производителю сообщили о проблеме он сразу принял меры, чтобы скрыть адреса электронных почт звездочками. Кроме того, в блоге сообщается, что последняя попытка «добыть» личные данные таким способом была заблокирована из-за обновления.