Die API "Shot on OnePlus" war ungeschützt und enthüllte die E-Mail-Adressen der Benutzer

OnePlus '"Shot on OnePlus" -Dienst, der standardmäßig mit OnePlus-Geräten geliefert wird, enthielt eine Sicherheitslücke, die kürzlich gemeldet wurde. Der von 9to5Google entdeckte Fehler ermöglichte es, die E-Mail-Adressen von Nutzern abzurufen, die Bilder in den Service hochgeladen haben. OnePlus hat das Problem teilweise behoben, indem Benutzer-E-Mails verdeckt und der API zusätzliche Überprüfungen hinzugefügt wurden. Es kann jedoch weiterhin umgangen werden.

"Shot on OnePlus"

"Shot on OnePlus" ist eine ziemlich selbsterklärende App. Der Zugriff erfolgt über das Auswahlmenü "Hintergründe". Es enthält Fotos, die von OnePlus-Benutzern aufgenommen wurden, und bietet Ihnen die Möglichkeit, diese als Hintergrundbild zu verwenden. OnePlus wählt jeden Tag ein neues Foto aus, das in der App angezeigt werden soll.

OnePlus wählt die Fotos aus einer Bibliothek aus, in die Benutzer entweder über die App selbst oder die Website hochladen können. In beiden Fällen müssen Benutzer vor dem Hochladen in ihrem OnePlus-Konto angemeldet sein. Beim Hochladen eines Fotos können Benutzer einen Titel, einen Ort und eine kurze Beschreibung des Fotos auswählen.

Sicherheitsprobleme

Die API, die von der App "Shot on OnePlus" zum Hochladen von Fotos verwendet wurde, war nicht gesichert. In der Tat kann jeder mit einem Zugriffstoken die API verwenden, die hauptsächlich zum Abrufen und Hochladen von Fotos auf die OnePlus-Server verwendet wird. Das folgende Bild zeigt eine über die API erhaltene Antwort. Wie Sie im Bild sehen können, enthält die Antwort Informationen, die Sie nicht erhalten sollten.

Bildnachweis: 9to5Google (Teile des Bildes wurden unscharf dargestellt, um die Identität des Nutzers zu schützen.)

Es ist ungewiss, wie lange diese API ungeschützt blieb. Es ist jedoch anzunehmen, dass dies seit dem Start des Dienstes „Shot on OnePlus“ im Jahr 2017 der Fall war, da OnePlus keinen Grund hatte, die API zu aktualisieren.

Wie es funktioniert

Die "gid" eines Benutzers ist ein alphanumerischer Code, der für jeden Benutzer eindeutig ist. Es kann zur Identifizierung einzelner Benutzer verwendet werden und besteht aus zwei Komponenten: zwei Buchstaben (CN oder EN), die angeben, ob ein Benutzer aus China (CN) oder einem anderen Land (EN) stammt, und einer eindeutigen Zahl unterschiedlicher Länge. Diese "gid" wird von der API verwendet, um vom verbundenen Benutzer hochgeladene Fotos zu finden und sie sogar zu löschen. Leider konnte die GID nicht nur zum Abrufen von Informationen über den Benutzer wie E-Mail-Adresse, Name und Land verwendet werden, sondern auch zum Aktualisieren der Informationen, ohne dass dies den Anschein einer angemessenen Sicherheit erweckte.

Da es sich bei dem zweiten Teil des Gids um eine Zahl handelt, konnten andere Benutzer durch einfaches Durchlaufen von Zahlen gefunden werden.

Behebt

9to5Google kontaktierte OnePlus zu diesen Problemen, erhielt jedoch keine Antwort. Sie stellten jedoch fest, dass Änderungen an der API vorgenommen wurden. Die API verliert jetzt nicht mehr die GID und E-Mail der Benutzer. Wenn Sie dieselbe Anforderung an die API stellen, die zum Abrufen der obigen Antwort verwendet wurde, wird die E-Mail jetzt mit Sternchen verschleiert.

Darüber hinaus versucht die API nun zu überprüfen, ob sie nur von der App "Shot on OnePlus" verwendet wird, die jedoch weiterhin umgangen werden kann.

Nachverfolgen

Seitdem 9to5Google seinen Artikel veröffentlicht hat, scheint OnePlus aufgestanden zu sein und mehr Aufmerksamkeit auf sich gezogen zu haben. Sie gaben zuerst die folgende Erklärung ab:

OnePlus nimmt die Sicherheit ernst und untersucht alle eingehenden Berichte.

Dann haben sie die API aktualisiert. Die Funktionalität, mit der Sie Kontoinformationen abrufen und ändern können, ist gesperrt. Stattdessen wird die Meldung "Aktualisierung der Funktionalität, bitte versuchen Sie es später erneut."

Wir hoffen, dass diese API jetzt weitaus besser geschützt ist, sobald OnePlus sie von der Wartung zurückbringt.

Quelle: 9to5Google