La API "Shot on OnePlus" estaba desprotegida y expuso las direcciones de correo electrónico de los usuarios

El servicio "Shot on OnePlus" de OnePlus, que viene con los dispositivos OnePlus de manera predeterminada, contenía una falla de seguridad que se acaba de revelar el otro día. La falla, descubierta por 9to5Google, hizo posible obtener las direcciones de correo electrónico de los usuarios que subieron imágenes al servicio. Desde entonces, OnePlus ha rectificado parcialmente el problema ocultando los correos electrónicos de los usuarios y agregando controles adicionales a la API, pero aún se puede omitir.

"Disparo en OnePlus"

"Shot on OnePlus" es una aplicación bastante autoexplicativa. Accesible a través del menú de selección Fondos de pantalla, tiene fotos tomadas por los usuarios de OnePlus y le ofrece la opción de usarlas como fondo de pantalla. OnePlus selecciona una nueva foto todos los días para que aparezca en la aplicación.

OnePlus elige las fotos de una biblioteca a la que los usuarios pueden subir, ya sea a través de la aplicación o del sitio web. De cualquier manera, los usuarios deben iniciar sesión en su cuenta de OnePlus antes de cargarlos. Al cargar una foto, los usuarios pueden elegir un título, una ubicación y una breve descripción de la foto.

Temas de seguridad

La API utilizada por la aplicación "Shot on OnePlus" para cargar fotos no estaba asegurada. De hecho, cualquier persona con un token de acceso podría usar la API, utilizada principalmente para recuperar y cargar fotos en los servidores de OnePlus. La siguiente imagen muestra una respuesta obtenida a través de la API. Como puede ver en la imagen, la respuesta tiene información que no debería poder obtener.

Crédito: 9to5Google (partes de la imagen fueron borrosas para proteger la identidad del usuario)

Si bien no está claro cuánto tiempo se dejó sin protección esta API, es razonable suponer que este ha sido el caso desde el lanzamiento del servicio "Shot on OnePlus" en 2017, ya que OnePlus no ha tenido ninguna razón para actualizar la API.

Cómo funciona

El "gid" de un usuario es un código alfanumérico exclusivo de cada usuario. Se puede usar para identificar usuarios individuales, y tiene dos componentes: dos letras, ya sea CN o EN, que indican si un usuario es de China (CN) o de cualquier otro lugar (EN), y un número único de longitud variable. La API utiliza este "gid" para buscar fotos cargadas por el usuario relacionado e incluso eliminarlas. Desafortunadamente, el gid no solo se podía usar para recuperar información sobre el usuario, como su correo electrónico, nombre y país, sino que también se podía usar para actualizar su información sin ninguna apariencia de seguridad adecuada.

Además, debido a que la segunda parte del gid es un número, fue posible encontrar otros usuarios simplemente recorriendo los números.

Arreglos

9to5Google contactó a OnePlus sobre estos problemas pero nunca recibió una respuesta. Sin embargo, notaron que se hicieron cambios en la API. La API ya no pierde el gid y el correo electrónico de los usuarios. Si realiza la misma solicitud a la API que se utilizó para obtener la respuesta anterior, el correo electrónico ahora está ofuscado con asteriscos.

Además de eso, la API ahora intenta verificar que solo es utilizada por la aplicación "Shot on OnePlus", pero que aún se puede omitir.

Seguimiento

Desde que 9to5Google publicó su artículo, OnePlus parece haberse sentado y haber tomado más nota. Primero emitieron la siguiente declaración:

OnePlus se toma muy en serio la seguridad e investigamos todos los informes que recibimos.

Luego actualizaron la API. La funcionalidad que le permite obtener y cambiar la información de la cuenta está bloqueada y, en su lugar, devuelve el mensaje "Actualización de la funcionalidad, vuelva a intentarlo más tarde".

Con suerte, ahora veremos que esta API está mucho mejor protegida, una vez que OnePlus la recupere del mantenimiento.

Fuente: 9to5Google