Un paio di mesi fa è emerso un difetto di sicurezza che ha colpito molti utenti OnePlus. La società aveva diffuso gli indirizzi email di centinaia di loro utenti attraverso l’app per gli sfondi Shot on OnePlus, accessibile tramite il menu di selezione Wallpaper, la quale contiene le foto caricate dagli utenti di OnePlus dall’app stessa o da un sito web.

L’app Shot on OnePlus utilizza un’API per creare un collegamento tra il server della società e l’app. Le foto e altre informazioni che devono essere salvate online devono passare attraverso questa API e normalmente un’API che può essere utilizzata per recuperare informazioni private sugli utenti è protetta in vari modi, invece l’API utilizzata da OnePlus consentiva un accesso improprio abbastanza facile.

L’API viene principalmente utilizzata per ottenere foto pubbliche, ma in questo caso è possibile trovare dati sensibili che normalmente non dovrebbero essere accessibili pubblicamente, come potete vedere nel seguente screenshot.

Non è chiaro da quanto tempo questa vulnerabilità fosse presente, ma potrebbe essere fin dal rilascio dell’app, quindi da vari anni. Una delle principali cause di questa falla era legata a ciò che OnePlus chiama un “gid”, codice alfanumerico utilizzato per identificare un utente.

Chiunque abbia effettuato l’accesso all’app Shot on OnePlus ha ottenuto un “gid” in questa API che potrebbe anche essere usato per ottenere informazioni su quell’utente, come ad esempio nome, email, nazione e persino aggiornare queste informazioni senza alcuna sicurezza reale.

OnePlus ha prontamente apportato modifiche all’API appena è venuta a conoscenza della vulnerabilità migliorando la sicurezza in alcune parti dell’API.

Non si tratta del primo primo problema di sicurezza che OnePlus ha affrontato sui propri dispositivi. Nel 2017 Christopher Moore, un ingegnere del software, scoprì che OnePlus stava raccogliendo informazioni personali sugli utenti all’interno di un’app utilizzata per l’analisi.

OnePlus dovrebbe attivarsi per verificare completamente le proprie API e aggiornare di conseguenza l’app su tutti i dispositivi.