Сотрудники авторитетного издания 9to5Google провели независимое исследование и пришли к выводу, что смартфоны OnePlus не образец безопасности и могли раскрывать злоумышленникам данные о своих владельцах. Для этого даже не нужно было устанавливать какие-то вредоносные программы или бэкдоры, ведь уязвимость скрывалась в самой системе безопасности устройств.
Проблема обнаружена в разделе Shot on OnePlus, который хранит фотографии, выполненные на смартфоны компании и их можно устанавливать в качестве обоев на мобильнике.
Пользователи могут загружать фото из самого приложения или веб-сайта, но какой бы путь не был избран, необходимо пройти авторизацию при помощи аккаунта OnePlus, который хранит конфиденциальные данные о пользователе. Так, профиль содержит информацию о стране проживания, имени, электронной почте и прочие сведения.
Как оказалось, для простоты переноса данных с сервиса и приложения используется открытый API, который размещен на сайте open.oneplus.net. При наличии ключа дешифровки можно получить доступ к токену и данным о пользователях, которые загружают свои снимки в приложение.
Выяснить, как долго существует уязвимость, установить не удалось. Сама компания не стала давать официальный комментарий о наличии проблемы, но разработчики OnePlus внесли изменения в API, который теперь не отображает информацию и сведения об электронном адресе пользователя, чьи фото находятся в публичном доступе.
Источник: gizmochina.com
Дата публикации: 16.06.2019
ePN © 2023 Все права защищены.