来源: 时间:2022-11-22 15:35:12
所有Oneplus智能手机都有一个“在Oneplus上拍照”应用程序,当用户为他们的智能手机选择壁纸时,该应用程序可以访问。根据9to5Google的一份报告,这款应用似乎存在安全漏洞,许多用户的电子邮件地址都被泄露了。
“一加上拍”应用程序基本上为所有一加用户提供了一个上传他们拍摄的照片的平台,这些照片可能会作为壁纸出现。然而,根据报告,用于在他们的服务器和应用程序之间建立链接的ApI泄露了与照片提交相关的电子邮件地址。ApI需要一个未加密的密钥来获得一个访问令牌,然后允许人们看到那些在平台上上传照片的用户的电子邮件地址。特定的ApI甚至托管在Open.OnePlus.NET上。
报道进一步称,该公司自5月初就意识到这些缺陷,但他们没有表现出任何公众担忧。他们也没有透露用户电子邮件对任何人都很容易访问。即使已经推出了一个修复方案,但在问题完全解决之前,它需要更多的更改。
目前还不清楚ApI泄露数据的时间有多长,但报告指出,由于一加在应用程序被发现有缺陷后没有公开这些数据,它认为自发布以来一直在泄露数据。至少好几年了。
显然,一加最初没有回应9to5Google关于安全漏洞的电子邮件查询,但后来提供了一份声明,内容是“一加非常重视安全,我们会调查我们收到的所有报告”。然而,似乎一加已经秘密地对ApI进行了修改,以纠正电子邮件地址泄漏的问题,但9to5Google在其报告中表示,针对gid缺陷对ApI进行的修复可以被绕过。
“GID”是一个字母数字代码,用于识别用户。登录Oneplus应用程序的用户在这个API中有一个gid。此代码由Oneplus ApI用于获取用户上传的照片。它还可以用来获取用户的信息,如姓名,电子邮件,国家。
另请阅读:一加5,5T,6,6T获得Fnatic模式和数字福祉与新的氧OS测试版更新
根据一个更新,对此的修复似乎也在工作中,通过gid的修改目前被阻止。据报道,这家智能手机制造商还通过ApI在用户名部分添加星号,只显示域区域,从而模糊了电子邮件地址。例如a******@xyzmail.com。
相关推荐
猜你喜欢