- वनप्लस ऐप पर शॉट में एक सुरक्षा दोष है।
- दोष ने उपयोगकर्ताओं के नाम, देश और ईमेल पते उजागर किए।
- वनप्लस ने कुछ हद तक सुरक्षा दोष को संबोधित किया।
एक के अनुसार 9to5Google आज पहले प्रकाशित रिपोर्ट, एक सुरक्षा दोष के कारण OnePlus ऐप पर शॉट के माध्यम से ईमेल पते के "सैकड़ों" लीक हो गए। वनप्लस वनप्लस 7 प्रो और अन्य वनप्लस फोन पर ऐप को प्री-इंस्टॉल करता है।
जैसा कि नाम से पता चलता है, वनप्लस पर शॉट अन्य लोगों की तस्वीरें दिखाता है और आपको अपना खुद का अपलोड करने देता है। जब आप कोई फ़ोटो अपलोड करते हैं, तो आप उसका शीर्षक, स्थान और विवरण बदल सकते हैं। वनप्लस पर शॉट के लिए फोटो अपलोड के लिए एक लॉगिन की आवश्यकता होती है, जिसमें उपयोगकर्ता ऐप और वेबसाइट के भीतर अपना प्रोफ़ाइल नाम, देश और ईमेल पते बदल सकते हैं।
दुर्भाग्य से, 9to5Google एक एपीआई पाया गया - मुख्य रूप से सार्वजनिक फ़ोटो प्राप्त करने और ऐप और वनप्लस के सर्वर के बीच लिंक बनाने के लिए - उपयोग करने में आसान और सामान्य एपीआई प्रतिभूतियों के बिना। Open.oneplus.net पर होस्ट किया गया, एपीआई एक्सेस टोकन वाले किसी के लिए भी सुलभ है और प्रतीत होता है कि इसमें संवेदनशील उपयोगकर्ता डेटा है।
मामलों को बदतर बनाना एपीआई में "जीआईडी" है। Gid एक अल्फ़ान्यूमेरिकल कोड है जो API को विशिष्ट उपयोगकर्ताओं की पहचान करने देता है। इसमें दो भाग शामिल होते हैं: दो अक्षर जो प्रकट करते हैं कि उपयोगकर्ता कहाँ से है और एक अद्वितीय संख्या है। उदाहरण के लिए, CN472834 चीन का एक उपयोगकर्ता है और EN593874 कहीं और से एक उपयोगकर्ता है।
असुरक्षित API उपयोगकर्ता के अपलोड किए गए फ़ोटो को खोजने या उक्त फ़ोटो को हटाने के लिए gid का उपयोग करता है। API उपयोगकर्ता की जानकारी, जैसे कि उनका नाम, देश और ईमेल प्राप्त करने और उस जानकारी को अपडेट करने के लिए भी gid का उपयोग करता है।
जैसे कि वह बहुत बुरा नहीं था, आप अन्य उपयोगकर्ताओं को खोजने के लिए एक gid की संख्याओं के माध्यम से चक्र कर सकते हैं।
अच्छी खबर यह है कि एपीआई अब उन लोगों के जीआईडी और ईमेल पते को लीक नहीं करता है जो सार्वजनिक रूप से तस्वीरें अपलोड करते हैं। वनप्लस ने भी इसे बनाया है इसलिए वनप्लस ऐप पर केवल शॉट एपीआई का उपयोग करता है, हालांकि 9to5Google नोट जिन्हें आसानी से बायपास किया जा सकता है। अंत में, एपीआई ईमेल पते को तारांकन के साथ अस्पष्ट करता है।
टिप्पणी के लिए वनप्लस तक पहुंच गया, लेकिन प्रेस समय के अनुसार प्रतिक्रिया नहीं मिली।
