- शॉट ऑन वनप्लस अॅपमध्ये सुरक्षा दोष आहे.
- सदोषपणामुळे वापरकर्त्यांची नावे, देश आणि ईमेल पत्ते उघडकीस आले.
- वनप्लसने काही प्रमाणात सुरक्षा त्रुटी दूर केल्या.
त्यानुसार ए 9to5Google आज पूर्वी प्रकाशित झालेल्या अहवालात, एका सुरक्षा त्रुटीमुळे शॉट ऑन वनप्लस अॅपवरुन “शेकडो” ईमेल पत्ते गळती झाले. वनप्लसने वनप्लस 7 प्रो आणि अन्य वनप्लस फोनवर अॅप प्री-इंस्टॉल केला आहे.
नावाप्रमाणेच, शॉट ऑन वनप्लस इतर लोकांचे फोटो दर्शवितो आणि आपल्याला आपले स्वतःचे अपलोड करू देतो. आपण एखादा फोटो अपलोड करता तेव्हा आपण त्याचे शीर्षक, स्थान आणि वर्णन बदलू शकता. वनप्लसवर शॉटसाठी अॅप आणि वेबसाइटमधील त्यांचे प्रोफाइल नावे, देश आणि ईमेल पत्ते बदलण्यात सक्षम वापरकर्त्यांसह फोटो अपलोडसाठी लॉगिन आवश्यक आहे.
दुर्दैवाने, 9to5Google एक एपीआय आढळला - मुख्यत: सार्वजनिक फोटो मिळविण्यासाठी आणि अॅप आणि वनप्लसच्या सर्व्हर दरम्यान दुवा बनविण्यासाठी - विशिष्ट API सिक्युरिटीजशिवाय प्रवेश करणे सोपे होते. ओपन.एनप्लस.नेटवर होस्ट केलेले, एपीआय टोकन असलेल्या कोणासही प्रवेशयोग्य आहे आणि असे दिसते की संवेदनशील वापरकर्ता डेटा आहे.
प्रकरणे अधिक खराब करणे म्हणजे एपीआय मधील “ग्रीड”. ग्रिड हा एक अल्फान्यूमेरिकल कोड आहे जो API ला विशिष्ट वापरकर्त्यांना ओळखण्याची परवानगी देतो. यात दोन भाग आहेत: दोन अक्षरे जी वापरकर्ता कोठून आहेत आणि एक अद्वितीय संख्या दर्शवितात. उदाहरणार्थ, सीएन 472834 हा चीनचा वापरकर्ता आहे आणि एन595938 कुठूनतरी वापरकर्ता आहे.
असुरक्षित API वापरकर्त्याचे अपलोड केलेले फोटो शोधण्यासाठी किंवा म्हणाले फोटो हटविण्यासाठी ग्रीडचा वापर करते. वापरकर्त्याचे नाव, देश आणि ईमेल यासारखी माहिती मिळविण्यासाठी आणि ती माहिती अद्यतनित करण्यासाठी एपीआय देखील ग्रीडचा वापर करते.
जणू ते तितके वाईट नव्हते, परंतु इतर वापरकर्त्यांना शोधण्यासाठी आपण एका बोलीच्या क्रमांकावरून फिरू शकता.
चांगली बातमी म्हणजे एपीआय यापुढे सार्वजनिकपणे फोटो अपलोड करणा of्यांचे ग्रिड आणि ईमेल पत्ते लीक होत नाहीत. वनप्लसने हे देखील बनवले त्यामुळे केवळ शॉट ऑन वनप्लस अॅप एपीआय वापरते 9to5Google नोट्स ज्या सहजपणे सोडल्या जाऊ शकतात. अखेरीस, एपीआय तार्यांद्वारे ईमेल पत्ते अस्पष्ट करते.
टिप्पणीसाठी वनप्लसवर पोहोचले परंतु प्रेस वेळेद्वारे प्रतिसाद मिळाला नाही.
