В смартфонах компании OnePlus обнаружили довольно серьезный недостаток в безопасности, с помощью которого хакеры могут получить доступ к личным данным пользователей. И связана уязвимость с фирменным приложением Shot on OnePlus.

Что это такое

Shot on OnePlus - это приложение, позволяющее добавлять свои фотографии в список обоев. То есть вы нащелкали на отдыхе несколько хороших снимков, загрузили их в галерею Shot on OnePlus - и любой желающий может установить ваше фото в качестве обоев.

В чем уязвимость

Чтобы загрузить снимок, вам необходимо войти в свой профиль, указав имя, страну проживания и адрес электронной почты. Специальный идентификатор превращает информацию в код, который состоит из двух букв и шести цифр. Буквы указывают на страну проживания (например, CN - Китай), цифры определяются автоматически.

Но с помощью открытого API, размещённого на open.oneplus.net, и маркера доступа можно получить доступ к данным других пользователей, а методом простого перебора цифр можно не только получить информацию о других пользователях, но еще и редактировать ее.

Как долго была эта уязвимость - неизвестно. Но после публикации 9to5google OnePlus внесла изменения в API и стала скрывать часть электронного адреса при просмотре со сторонних аккаунтов.