OnePlus fuyait des emails d’utilisateurs dans son application « Shot OnePlus Wallpapers »

Il y a quelques mois, nous avons découvert une faille de sécurité majeure qui a affecté de nombreux utilisateurs OnePlus. L’entreprise avait divulgué les adresses électroniques de centaines de ses utilisateurs par le biais de l’application’Shot on OnePlus’. Le problème le plus important est maintenant résolu, mais voici comment il s’est produit, et ce que OnePlus doit encore corriger.

Tir sur OnePlus

Si vous possédez un appareil OnePlus, vous avez peut-être remarqué l’application’Tir sur OnePlus’, accessible via le menu de sélection des fonds d’écran. Comme son nom l’indique, il contient des photos téléchargées par les utilisateurs OnePlus, ce qui vous permet de les définir comme votre fond d’écran actuel. Chaque jour, une nouvelle photo apparaît dans l’application.

Les utilisateurs peuvent télécharger des photos depuis l’application elle-même ou depuis un site Web. Dans les deux cas, il est nécessaire d’être connecté pour télécharger une photo. Les utilisateurs peuvent également modifier leur profil, y compris leur nom, leur pays et leur adresse électronique à partir de l’application et du site Web. Enfin, lorsque les utilisateurs téléchargent une photo, ils peuvent définir un titre, un emplacement et une description de la photo. Si la photo est sélectionnée, elle apparaît publiquement dans l’application Shot on OnePlus et dans la galerie sur leur site Web.

Lorsque les utilisateurs téléchargent une photo, ils peuvent entrer un titre, un emplacement et une description de la photo. Si la photo est sélectionnée par OnePlus, elle apparaît publiquement dans l’application Shot on OnePlus et dans la galerie sur leur site Web.

Qu’est-ce qui n’a pas fonctionné ?

L’application Shot on OnePlus utilise une API pour établir un lien entre leur serveur et l’application. Les photos et autres informations qui doivent être sauvegardées en ligne doivent passer par cette API. Normalement, une API, en particulier une API qui peut être utilisée pour récupérer des informations privées sur les utilisateurs, est sécurisée de différentes manières.

Au lieu de cela, l’API utilisée par OnePlus était et est assez facile d’accès. Leur API — hébergée suropen.oneplus.net — peut être utilisée par quiconque possède un jeton d’accès. Le jeton d’accès est nécessaire pour effectuer la plupart des actions avec l’API. Une clé non chiffrée est nécessaire pour récupérer le jeton d’accès, mais c’est son seul but. Le jeton d’accès et la clé non chiffrée sont des codes alphanumériques.

L’API est principalement utilisée pour obtenir des photos publiques. Mais comme vous pouvez le voir dans la capture d’écran suivante — qui est une réponse obtenue en utilisant l’API utilisée par OnePlus — vous pourriez trouver des données sensibles qui ne devraient normalement pas être accessibles publiquement.

La durée de cette fuite n’est pas claire, mais comme OnePlus n’avait aucune raison de rendre ces données publiques après la sortie de l’application, nous pensons qu’il y a eu des fuites de données depuis sa sortie — plusieurs années, au moins. L’une des principales vulnérabilités de cette fuite était liée à ce que OnePlus appelle un « gid ».

Qu’est-ce que le « gid », et comment est-il utilisé ?

Le « gid » est un code alphanumérique utilisé pour identifier un utilisateur. Quiconque s’est déjà connecté à l’application Shot on OnePlus a un « gid » dans cette API. Il se compose de deux parties :

  • Deux lettres qui indiquent si un utilisateur vient de Chine (CN) ou d’ailleurs (EN)
  • Un numéro unique, comme 123 456

Cet identifiant est utilisé par l’API OnePlus pour trouver les photos téléchargées par un utilisateur particulier ou pour les supprimer. Il pourrait également être utilisé pour obtenir des informations sur cet utilisateur (nom, email, pays) et même update cette information sans réelle sécurité. Il y avait aussi un autre défaut. Parce que la deuxième partie est un nombre simple, il était possible de trouver d’autres utilisateurs très facilement en parcourant simplement les différents nombres.

Qu’est-ce que OnePlus a fait à ce sujet ?

Nous avons contacté OnePlus à propos de ces questions mais n’avons reçu aucune réponse directe. Toutefois, ils ont rapidement apporté des modifications à l’API après notre courriel et il ne fuit plus le gid et le courriel des utilisateurs dont les photos sont affichées publiquement.

En ce qui concerne le défaut « gid », OnePlus a ajouté un peu plus de sécurité à certaines parties de l’API. Ils tentent maintenant de s’assurer que l’API n’est utilisée que par l’application Shot on OnePlus, mais cela peut être très facilement contourné. De plus, ils masquent maintenant l’adresse email en ajoutant des astérisques, par exemple « d****** later ».