Notebookcheck

В фирменном приложении OnePlus обнаружилась уязвимость, касающаяся пользовательских данных

Интерфейс веб-ресурса Shot on OnePlus. (Изображение: OnePlus)
Интерфейс веб-ресурса Shot on OnePlus. (Изображение: OnePlus)
«Shot on OnePlus» - это ресурс, с помощью которого пользователи могут делиться своими снимками через приложение или сайт. Это реализовано с помощью интерфейса, который, на проверку, оказался уязвимой системой, где запросто можно добыть электронные адреса и ID пользователей. Компания быстро отреагировала на проблему и, в настоящее время, устраняет выявленные уязвимости.

Shot on OnePlus – это одна из функций, созданная производителем для того, чтобы рекламировать качество съёмки своих флагманских телефонов. Она существует уже несколько лет и позволяет талантливым пользователям делиться своими фото через веб-сайт OnePlus или приложение на своём устройстве. Однако, теперь выяснилось, что этот ресурс мог быть угрозой конфиденциальности и безопасности данных пользователей в течение долгого времени.

Блог 9to5Google расследовал этот вопрос в течение последних месяцев и недавно опубликовал свои выводы по этому вопросу. Интерфейс Shot on OnePlus, отправлял данные, предоставленные пользователями (через приложение для смартфона), на свои серверы для авторизации. Однако, в итоге выяснилось, что любой, имеющий доступ к этому интерфейсу, мог просматривать электронные адреса и ID пользователей.

Естественно, проблемы не было бы, если бы данные и токены, необходимые для идентификации, были хорошо зашифрованы. Тем не менее, 9to5Google утверждает, что и те, и другие были представлены обычными буквенно-цифровыми кодами. Таким образом, сотрудники блога смог получить доступ к персональным данным, включая действительный адрес электронной почты, и войти в учётную запись Shot on OnePlus.

Эти данные и уникальный номер, присваиваемый каждому участнику Shot on OnePlus, четко просматривались в ответе интерфейса. Сотрудники 9to5Google сообщили, что эта уязвимость вполне могла существовать с первого дня работы Shot on OnePlus.

С другой стороны, как только производителю сообщили о проблеме он сразу принял меры, чтобы скрыть адреса электронных почт звездочками. Кроме того, в блоге сообщается, что последняя попытка «добыть» личные данные таким способом была заблокирована из-за обновления.

Данные из интерфейса Shot on OnePlus содержат адрес электронной почты и ID. (Изображение: 9to5Google)
Данные из интерфейса Shot on OnePlus содержат адрес электронной почты и ID. (Изображение: 9to5Google)

Источник(и)

'
Please share our article, every link counts!
> Обзоры Ноутбуков, Смартфонов, Планшетов. Тесты и Новости > Новости > Архив новостей > Архив новостей за 2019 06 > В фирменном приложении OnePlus обнаружилась уязвимость, касающаяся пользовательских данных
Deirdre O Donnell, 2019-06-16 (Update: 2019-06-16)