• يحتوي تطبيق Shot on OnePlus على ثغرة أمنية.
• كشف الخلل أسماء المستخدمين والبلدان وعناوين البريد الإلكتروني.
• OnePlus تعالج إلى حد ما الخلل الأمني.

وفقا ل 9to5Google تقرير نشر في وقت سابق اليوم ، تسبب عيب أمني في تسرب "المئات" من عناوين البريد الإلكتروني عبر تطبيق Shot on OnePlus. يقوم OnePlus بتثبيت التطبيق مسبقًا على OnePlus 7 Pro وغيرها من هواتف OnePlus.

كما يوحي الاسم ، يُظهر Shot on OnePlus صور أشخاص آخرين ويسمح لك بتحميل صورك الخاصة. عند تحميل صورة ، يمكنك تغيير العنوان والموقع والوصف. يتطلب برنامج Shot on OnePlus تسجيل دخول للتحميلات للصور ، بحيث يتمكن المستخدمون من تغيير أسماء ملفاتهم الشخصية والدول وعناوين بريدهم الإلكتروني داخل التطبيق وموقع الويب.

للأسف، 9to5Google العثور على واجهة برمجة التطبيقات (API) - والتي تستخدم بشكل أساسي للحصول على صور عامة ولإجراء الرابط بين التطبيق وخوادم OnePlus - لتكون سهلة الوصول وبدون أوراق مالية API نموذجية. مستضاف على open.oneplus.net ، يمكن الوصول إلى واجهة برمجة التطبيقات لأي شخص لديه رمز وصول ويبدو أنه يحتوي على بيانات مستخدم حساسة.

مما يزيد الطين بلة هو "gid" في API. gid عبارة عن كود أبجدي رقمي يتيح لـ API التعرف على مستخدمين محددين. يتكون من جزأين: حرفين يكشفان عن مكان مستخدم ورقم فريد. على سبيل المثال ، CN472834 مستخدم من الصين ، و EN593874 مستخدم من مكان آخر.

تستخدم واجهة برمجة التطبيقات الضعيفة واجهة المستخدم الرسومية للعثور على الصور التي قام المستخدم بتحميلها أو حذف الصور المذكورة. تستخدم واجهة برمجة التطبيقات أيضًا الرقم التعريفي للحصول على معلومات المستخدم ، مثل الاسم والبلد والبريد الإلكتروني وتحديث هذه المعلومات.

كما لو أن هذا لم يكن سيئًا بما يكفي ، يمكنك التنقل بين أرقام gid للعثور على مستخدمين آخرين.

والخبر السار هو أن واجهة برمجة التطبيقات لم تعد تسرب عناوين البريد الإلكتروني والبريد الإلكتروني لأولئك الذين يقومون بتحميل الصور بشكل عام. قام OnePlus أيضًا بتطبيقه حتى يستخدم تطبيق Shot on OnePlus واجهة برمجة التطبيقات 9to5Google الملاحظات التي يمكن تجاوزها بسهولة. أخيرًا ، تحجب واجهة برمجة التطبيقات عناوين البريد الإلكتروني مع العلامات النجمية.

تواصل مع OnePlus للتعليق ، لكنه لم يتلق ردًا بحلول الوقت المحدد للصحافة.