Shot on OnePlus-App leakt eMail-Adressen der Nutzer

Das chinesische Unternehmen OnePlus kommt wohl unter Druck. Einem Bericht nach leakt die OnePlus Wallpaper-App 'Shot on OnePlus' eMail-Adressen der Benutzer. Die Schwachstelle soll aber nun behoben sein.


Anzeige

Vor ein paar Monaten entdeckten Redakteure von 9to5google.com einen etwas größeren Sicherheitsfehler, der viele OnePlus-Benutzer betraf. Das Unternehmen hatte die E-Mail-Adressen von Hunderten von Benutzern über die App "Shot on OnePlus" weitergegeben. 9to5google.com berichtet hier über diese Schwachstelle, die mittlerweile behoben ist. Daher kann man die Details nun offen legen.

Die Wallpaper-App "Shot on OnePlus"

Wer ein OnePlus-Gerät besitzt, hat möglicherweise die Anwendung "Shot on OnePlus" bemerkt. Diese lässt über ein Auswahlmenü Wallpapers aufrufen. Die App ermöglicht Fotos, die von OnePlus-Benutzern hochgeladen wurden, als aktuelles Hintergrundbild auf dem Android-Gerät festzulegen. Jeden Tag erscheint ein neues Foto in der Anwendung. Also etwas, was man nicht wirklich braucht.

Wenn Benutzer ein Foto hochladen, können sie einen Titel, einen Ort und eine Beschreibung des Fotos eingeben. Wenn das Foto von OnePlus ausgewählt wird, erscheint es öffentlich in der Shot on OnePlus App und in der Galerie auf deren Website.

Die Schwachstelle

Die Shot on OnePlus-App verwendet eine API, um eine Verbindung zwischen dem OnePlus-Server und der App herzustellen. Fotos und andere Informationen, die online gespeichert werden müssen, durchlaufen diese API. Normalerweise sind solche API-Aufrufe, insbesondere solche, die verwendet werden kann, um private Informationen über Benutzer abzurufen, auf verschiedene Weise abgesichert.

Die von OnePlus verwendete API ist jedoch recht einfach auf open.oneplus.net zugänglich und kann von jedem mit einem Zugriffstoken verwendet werden. Das Zugriffstoken ist erforderlich, um die meisten Aktionen mit der API durchzuführen. Für die Abfrage des Zugriffstokens ist ein unverschlüsselter Schlüssel erforderlich, aber das ist sein einziger Zweck. Sowohl das Zugriffstoken als auch der unverschlüsselte Schlüssel sind alphanumerische Codes. Zwei Ziffern geben an, ob der Nutzer aus China (CN) oder von außerhalb (EN) kommt. Daran schließt sich ein numerischer Wert in der Art 123456 an. Dieser Wert kann also durchaus durch Hochzählen probiert werden.

Die API wird hauptsächlich verwendet, um auf öffentliche Fotos zuzugreifen. Dabei lassen sich von Dritten beim Abruf öffentlicher Fotos per API sensible Daten finden, die normalerweise nicht öffentlich zugänglich sein sollten. Dazu gehören auch der Name des Nutzers, dessen E-Mail-Adresse sowie das Land, unter denen die Fotos gepostet wurden.

Keine Antwort des Anbieters, aber Patch

9to5google.com hat dann OnePlus wegen dieser Probleme kontaktiert, aber keine direkte Antwort erhalten. Allerdings haben die OnePlus-Entwickler nach der E-Mail von 9to5google.com schnell reagiert und Änderungen an der API vorgenommen. Damit können die Daten beim Zugriff auf öffentliche Fotos nicht mehr per API abgerufen werden. Details und Screenshots finden sie im 9to5google.com-Bericht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Android, App, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

3 Antworten zu Shot on OnePlus-App leakt eMail-Adressen der Nutzer

  1. RUTZ-AhA sagt:

    "Vor ein paar Monaten entdeckten Redakteure von 9to5google.com einen etwas größeren Sicherheitsfehler…."
    "Allerdings haben die OnePlus-Entwickler nach der E-Mail von 9to5google.com schnell reagiert…."
    Demnach haben die Redakteure den schwarzen Peter.
    OnePlus hat sich ein recht gutes Image aufgebaut. Es wäre unklug von ihnen, dieses durch so einen Lapsus zu gefährden, daher auch die sofortige Reaktion.

    Für viele Nutzer ist so ein Wallpaper-Bullshit ein must have. Aus einer vorhandenen oder angebotenen Galerie auswählen geht ja noch. Aber private Bilder mit Text irgendwo in die Welt hochladen, zeugt nicht gerade von Intelligenz.

    • Mich@ sagt:

      Aber private Bilder mit Text irgendwo in die Welt hochladen, zeugt nicht gerade von Intelligenz. ->"mach ich foto- tu ich facebook.. "

      Viele Kinder benutzen Internet Plattformen welche die Bilder mit sternchen und co verschönern. Bild uploaden, verschandeln und downloaden. Was dann mit den Bildern passiert weiß niemand! Es ist viel Aufklärungsarbeit nötig damit sowas künftig unterbunden wird!

  2. RUTZ-AhA sagt:

    Die Vorfälle sind wohl noch nicht ausgestanden. Die Chinesen arbeiten noch immer dran.

    https://winfuture.de/news,109517.html

Schreibe einen Kommentar zu Mich@ Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.