Firma OnePlus znana jest ze smartfonów, które charakteryzują się dobrym stosunkiem jakości do ceny oraz przejrzystym oprogramowaniem OxygenOS. Jego jedną z największych zalet jest duże podobieństwo do czystego Androida, do którego dołożono kilka funkcji w tym aplikację Shot on OnePlus. Okazuje się jednak, że program nie był odpowiednio zabezpieczony i przez ostatnich kilka lat można było przez niego pozyskać poufne dane o użytkownikach.
Aplikacja Shot on OnePlus umożliwia użytkownikom dzielenie się swoimi zdjęciami i ustawianie ich na tapetę w swoim smartfonie. Każdego dnia pojawiają się tam nowe fotografie, a żeby je przesłać, należy zalogować się na swojego konto, które dodatkowo można spersonalizować, dodając imię i nazwisko, kraj pochodzenia oraz adres e-mail. Co więcej, każde zdjęcie może zawierać tytuł, opis oraz lokalizację, w której zostało wykonane. Następnie fotografie przechodzą selekcję i wybrane trafiają do aplikacji oraz na stronę internetową, gdzie każdy może je przeglądać.
Okazuje się jednak, że API używane do przesyłania danych z urządzenia na serwer nie miało odpowiednich zabezpieczeń w postaci szyfrowania lub uwierzytelniania. Efektem tego było możliwość prostego pozyskania poufnych informacji o użytkownikach, którzy zdecydowali się na przesłanie swoich zdjęć. Do danych, które można było pozyskać, należało imię i nazwisko, adres e-mail oraz kraj pochodzenia.
W maju, o wycieku został poinformowany OnePlus, który podjął stosowne kroki, dodając zabezpieczenia. Na razie nadal można pozyskać dostęp do danych użytkowników, lecz są one zagwiazdkowane. W celu pełnego wyeliminowania problemu chiński producent musi przeprojektować API i zaktualizować aplikację na swoich smartfonach.
Oficjalnie nie wiadomo, od kiedy trwał wyciek danych, lecz szacuje się, że od czasu wydania aplikacji, czyli kilku lat.
Źródło: 9TO5Google
