“Shot on OnePlus” aveva un problema di sicurezza: tutti gli indirizzi email erano disponibili in chiaro (foto)

Matteo Bottin

Se doveste possedere uno smartphone OnePlus e doveste aver voglia di cambiare sfondo, potreste aver notato “Shot on OnePlus“, ovvero l’applicazione che contiene tutte foto scattate dagli utenti OnePlus che possono essere utilizzate come sfondi.

Per caricare la propria foto, l’utente deve essere registrato, sia che la voglia caricare dall’app che dal sito ufficiale. Il profilo dell’utente può essere completato anche aggiungendo dati personali come nazione e nome. Ogni giorno una foto viene selezionata e resa disponibile per tutti sia in Shot on OnePlus che sulla galleria del sito.

Per collegare il server e l’applicazione, però, OnePlus ha utilizzato delle API particolari (disponibili per tutti coloro che hanno un token sul sito di OnePlus) che purtroppo hanno un enorme difetto: oltre a rendere disponibili le foto (compito per il quale sono state pensate) forniscono anche tanti dati personali, compresi gli indirizzi email.

Certo, per accedere alle API è necessario avere sia una chiave decriptata che il token, ma una volta avuti entrambi i dati sono disponibili per l’accesso. O, per lo meno, lo erano.

OnePlus, dopo essere contattata da 9to5Google, ha cercato di mettere una piccola pezza al problema aggiungendo degli asterischi all’interno dell’indirizzo email, e anche il numero identificativo di ogni utente (il “gid”) ora è oscurato.

LEGGI ANCHE: Master Lu incorona OnePlus 7 Pro: è lo smartphone Android più potente fra le new entry di maggio

Ora la domanda che ci si pone è: da quanto tempo era presente questa falla? Ma soprattutto, è stata utilizzata? Probabilmente OnePlus non ha avuto motivo di modificare le API dopo il rilascio dell’app, dunque potrebbe essere presente nel codice da anni.

Fonte: 9to5Google