A API "Shot on OnePlus" era desprotegida e expunha os endereços de email dos usuários

O serviço “Shot on OnePlus” do OnePlus, que vem com os dispositivos OnePlus por padrão, continha uma falha de segurança que foi divulgada no outro dia. A falha, descoberta pelo 9to5Google, tornou possível obter os endereços de e-mail dos usuários que enviaram fotos para o serviço. O OnePlus corrigiu parcialmente o problema ocultando os e-mails dos usuários e adicionando verificações extras à API, mas ainda pode ser contornado.

“Filmado em OnePlus”

"Shot on OnePlus" é um aplicativo bastante auto-explicativo. Acessível através do menu de seleção Wallpapers, possui fotos tiradas pelos usuários do OnePlus e oferece a opção de usá-las como papel de parede. O OnePlus seleciona uma nova foto todos os dias para ser destaque no aplicativo.

O OnePlus escolhe as fotos de uma biblioteca na qual os usuários podem fazer upload, através do próprio aplicativo ou do site. De qualquer forma, os usuários precisam fazer login na conta OnePlus antes de fazer o upload. Ao enviar uma foto, os usuários podem escolher um título, um local e uma breve descrição da foto.

Problemas de segurança

A API usada pelo aplicativo "Shot on OnePlus" para fazer upload de fotos não era segura. De fato, qualquer pessoa com um token de acesso pode usar a API, usada principalmente para recuperar e carregar fotos nos servidores do OnePlus. A imagem abaixo mostra uma resposta obtida por meio da API. Como você pode ver na imagem, a resposta possui informações que você não deve obter.

Crédito: 9to5Google (partes da imagem foram borradas para proteger a identidade do usuário)

Embora seja incerto quanto tempo essa API ficou desprotegida, é razoável supor que esse tenha sido o caso desde o lançamento do serviço "Shot on OnePlus" em 2017, uma vez que o OnePlus não teve motivos para atualizar a API.

Como funciona

O "gid" de um usuário é um código alfanumérico exclusivo para cada usuário. Ele pode ser usado para identificar usuários individuais e possui dois componentes: duas letras - CN ou EN, indicando se um usuário é da China (CN) ou de qualquer outro lugar (EN) - e um número único de comprimento variável. Esse "gid" é usado pela API para encontrar fotos enviadas pelo usuário relacionado e até excluí-las. Infelizmente, o gid não pode ser usado apenas para recuperar informações sobre o usuário, como email, nome e país, mas também pode ser usado para atualizar suas informações sem nenhuma aparência de segurança adequada.

Além disso, como a segunda parte do gid é um número, foi possível encontrar outros usuários simplesmente percorrendo os números.

Conserta

9to5O Google entrou em contato com a OnePlus sobre esses problemas, mas nunca recebeu uma resposta. No entanto, eles perceberam que foram feitas alterações na API. A API agora não mais vaza o gid e o email dos usuários. Se você fizer a mesma solicitação para a API usada para obter a resposta acima, o email agora será ofuscado com asteriscos.

Além disso, a API agora tenta verificar se é usada apenas pelo aplicativo "Shot on OnePlus", mas que ainda pode ser ignorada.

Acompanhamento

Desde que o 9to5Google publicou seu artigo, o OnePlus parece ter se levantado e levado mais atenção. Eles primeiro emitiram a seguinte declaração:

O OnePlus leva a segurança a sério e investigamos todos os relatórios que recebemos.

Em seguida, eles atualizaram a API. A funcionalidade que permite obter e alterar informações da conta é bloqueada. Em vez disso, retorna a mensagem "Atualização da funcionalidade, tente novamente mais tarde".

Felizmente, agora veremos essa API muito melhor protegida, uma vez que o OnePlus retorne da manutenção.

Fonte: 9to5Google