引述外媒报道,几个月前,我们发现了一个影响许多OnePlus使用者的重大安全漏洞。该公司通过“Shot on OnePlus”应用程序泄露了数百名使用者的电子邮件地址。现在已经解决了最重要的问题,但这里有一个细分问题,以及OnePlus还需要解决的问题。
来龙去脉
如果您有OnePlus装置,您可能已经注意到“Shot on OnePlus”应用程序,可通过桌布选择选单访问。顾名思义,它包含OnePlus使用者上传的照片,允许您将它们设定为当前的桌布。每天,应用程序中会出现一张新照片。
使用者可以从应用程序本身或从网站上传照片。在任何一种情况下,都需要登入才能上传照片。使用者还可以从应用程序和网站调整其个人资料,包括他们的姓名,国家和电子邮件地址。最后,当使用者上传照片时,他们可以定义照片的标题,位置和描述。如果选择了照片,它将在Shot on OnePlus应用程序和其网站上的相簿中公开显示。
当使用者上传照片时,他们可以输入照片的标题,位置和描述。如果照片是由OnePlus选择的,它会在Shot on OnePlus应用程序和其网站上的相簿中公开显示。
什么地方出了错?
Shot on OnePlus应用程序使用API在其服务器和应用程序之间建立连结。需要线上储存的照片和其他资讯必须通过此API。通常,以各种方式保护API,尤其是可用于检索关于使用者的私人资讯的API。
相反,OnePlus使用的API非常容易访问。他们的API - 托管在open.oneplus.net上 - 可以被任何拥有访问令牌的人使用。访问令牌需要使用API执行大多数操作。检索访问令牌需要未加密的金钥,但这是其唯一目的。访问令牌和未加密金钥都是字母数字程式码。
API主要用于获取公开照片。但正如您在下面的屏幕截图中看到的 - 这是通过使用OnePlus使用的API获得的响应 - 您可以找到通常无法公开访问的敏感资料。
(为了保护使用者的身份,任何导致识别此人的字段都会模糊不清。)
目前还不清楚这次泄密发生了多长时间,但由于OnePlus没有理由在应用程序释出后将这些资料公之于众,我们认为自发布以来资料泄露 - 至少多年。这次泄密的一个主要漏洞与OnePlus称之为“gid”的内容有关。
什么是“gid”,它是如何使用的?
“gid”是用于识别使用者的字母数字程式码。任何登入过OnePlus应用程序的人都有这个API中的“gid”。它由两部分组成:
OnePlus的API使用此ID查询特定使用者上传的照片或删除它们。它还可用于获取有关该使用者的资讯(名称,电子邮件,国家/地区),甚至可以在没有任何真正安全性的情况下更新此资讯。
还有另一个缺陷。因为第二部分是一个简单的数字,所以只需循环浏览各种数字就可以很容易地找到其他使用者。
OnePlus对此做了什么?
我们就这些问题联络了OnePlus,但未收到任何直接回复。但是,他们在我们的电子邮件后很快对API进行了更改,并且不再泄露其照片公开发布的使用者的gid和电子邮件。
至于“gid”漏洞,OnePlus为API的某些部分增加了一点安全性。他们现在尝试确保API仅供Shot on OnePlus应用程序使用,但这可以很容易地绕过。此外,他们现在通过新增星号来掩盖电子邮件地址,例如“d****@qq.com”。
结论
这不是OnePlus在其装置上遇到的第一个安全问题。早在2017年,软件工程师Christopher Moore就发现OnePlus 正在用于分析的应用程序中收集有关使用者的个人资讯。但是,截至今天,据我所知,应用收集的电子邮件无法公开访问。
对于这个新问题,OnePlus应该完全验证他们的API并相应地更新所有装置上的应用程序。自5月初以来,他们已经意识到这些缺陷,但他们没有表现出任何公众关注。他们认为没有必要透露使用者可以轻松访问使用者的电子邮件。事实上,仍然可以修改任何使用者的姓名,电子邮件,主页和国家/地区程式码。要解决此问题,OnePlus需要完全修改其API,并更新“Shot on OnePlus”应用。
