Уязвимость в смартфонах OnePlus позволяла получать данные о пользователях

Сотрудники авторитетного издания 9to5Google провели независимое исследование и пришли к выводу, что смартфоны OnePlus не образец безопасности и могли раскрывать злоумышленникам данные о своих владельцах. Для этого даже не нужно было устанавливать какие-то вредоносные программы или бэкдоры, ведь уязвимость скрывалась в самой системе безопасности устройств.
 

Что пошло не так

Проблема обнаружена в разделе Shot on OnePlus, который хранит фотографии, выполненные на смартфоны компании и их можно устанавливать в качестве обоев на мобильнике.

Пользователи могут загружать фото из самого приложения или веб-сайта, но какой бы путь не был избран, необходимо пройти авторизацию при помощи аккаунта OnePlus, который хранит конфиденциальные данные о пользователе. Так, профиль содержит информацию о стране проживания, имени, электронной почте и прочие сведения.
 

Как оказалось, для простоты переноса данных с сервиса и приложения используется открытый API, который размещен на сайте open.oneplus.net. При наличии ключа дешифровки можно получить доступ к токену и данным о пользователях, которые загружают свои снимки в приложение.
 

Как отреагировала OnePlus

Выяснить, как долго существует уязвимость, установить не удалось. Сама компания не стала давать официальный комментарий о наличии проблемы, но разработчики OnePlus внесли изменения в API, который теперь не отображает информацию и сведения об электронном адресе пользователя, чьи фото находятся в публичном доступе.

Источник: gizmochina.com

OnePlus 7 Pro: что компания не рассказала об экране

OxygenOS 9.5.5 улучшает камеру OnePlus 7

Быстрая распродажа на Gearbest: смартфоны Xiaomi, Redmi и по специальной цене OnePlus 7 Pro
Источник

Понравилась статья? Поделиться с друзьями: