![OnePlus app vazou 'centenas' de endereços de e-mail - Notícia OnePlus app vazou 'centenas' de endereços de e-mail - Notícia](https://a.23rdpta.org/news/oneplus-app-leaked-hundreds-of-email-addresses-1.jpg)
- O aplicativo Shot on OnePlus contém uma falha de segurança.
- A falha expôs os nomes, países e endereços de email dos usuários.
- O OnePlus resolveu um pouco a falha de segurança.
De acordo com um 9to5Google No relatório publicado hoje, uma falha de segurança causou o vazamento de centenas de endereços de e-mail no aplicativo Shot on OnePlus. O OnePlus pré-instala o aplicativo no OnePlus 7 Pro e em outros telefones OnePlus.
Como o nome sugere, o Shot on OnePlus mostra as fotos de outras pessoas e permite que você envie suas próprias. Ao enviar uma foto, você pode alterar o título, o local e a descrição. O Shot on OnePlus requer um login para upload de fotos, com os usuários capazes de alterar seus nomes de perfil, países e endereços de email no aplicativo e no site.
Infelizmente, 9to5Google encontrou uma API - usada principalmente para obter fotos públicas e fazer o link entre o aplicativo e os servidores do OnePlus - para facilitar o acesso e sem valores mobiliários típicos da API. Hospedada no open.oneplus.net, a API é acessível a qualquer pessoa com um token de acesso e aparentemente contém dados confidenciais do usuário.
Tornar as coisas piores é o "gid" na API. O gid é um código alfanumérico que permite que a API identifique usuários específicos. É composto por duas partes: duas letras que revelam de onde o usuário é e um número único. Por exemplo, CN472834 é um usuário da China e EN593874 é um usuário de outro lugar.
A API vulnerável usa o gid para encontrar as fotos enviadas por um usuário ou excluir essas fotos. A API também usa o gid para obter as informações de um usuário, como nome, país e email, e atualizar essas informações.
Como se isso não fosse ruim o suficiente, você poderia percorrer os números de um gid para encontrar outros usuários.
A boa notícia é que a API não vaza mais os endereços gid e email daqueles que publicam fotos publicamente. O OnePlus também fez com que apenas o aplicativo Shot on OnePlus use a API, embora 9to5Google notas que podem ser facilmente ignoradas. Por fim, a API oculta os endereços de email com asteriscos.
entrou em contato com o OnePlus para comentar, mas não recebeu uma resposta até o momento.