Shot on OnePlus: Viele Nutzerdaten über Wallpaper-App durchgesickert

Smartphone, Leak, OnePlus, OnePlus Smartphone, OnePlus 7, OnePlus 7 Pro, Pop-Up-Kamera Bildquelle: OnePlus
Schon vor einigen Monaten sind durch eine Sicherheitslücke in der App "Shot on OnePlus" zahlreiche Nutzerdaten an die Öffentlichkeit gelangt. Obwohl mehrere Fehler inzwischen behoben wurden, blieb das Kern­pro­blem noch bestehen. OnePlus soll derzeit an einer Lösung arbeiten. Die App "Shot on OnePlus" ermöglicht es, Bildaufnahmen mit einem OnePlus-Smartphone anzufertigen und diese anschließend einzusenden. Aus einem Bericht von 9to5google geht hervor, dass die Sicherheitsmechanismen dabei jedoch völlig unzureichend sind. Die API, die für die Übertragung der Aufnahme vom Gerät zum Server zuständig ist, nutzt überhaupt kei­ne Verschlüsselung oder Authentifizierung. Das stellt natürlich ein großes Problem dar, da neben der Aufnahme an sich unter anderem die E-Mail-Adresse des Einsenders übertragen wird. OnePlus wurde im Mai auf das Problem hingewiesen. Ein Statement erfolgte aber nicht. OnePlus E-Mail LeakÜber die App 'Shot on OnePlus' sind Mail-Adressen der Nutzer geleakt worden.

Access-Token ohne Verschlüsselung

In regelmäßigen Abständen wählt OnePlus ein eingesendetes Bild aus, welches dann auf allen Smartphones mit entsprechenden Einstellungen als Wallpaper festgelegt wird. Dabei lädt die App die nötigen Daten mit Hilfe der gleichen Schnittstelle herunter. Für einen erfolgreichen Zugriff wird ein Access-Token benötigt, der allerdings ohne großen Aufwand mit einem unverschlüsselten Schlüssel generiert werden kann. Bei beiden Informationen handelt es sich um alphanumerische Zeichendarstellungen.

Dabei spielt die sogenannte "gid" eine große Rolle. Hiermit wird ein Nutzer der App identifiziert. Die Kodierung besteht aus zwei Buch­sta­ben, welche den Nutzer einer Region zuordnen (CN/EN) sowie einer eindeutigen Zahlen-ID wie "123456". Natürlich ist es Angreifern somit sehr einfach möglich, eine fremde "gid" zu erzeugen. Die Daten des Nutzers können anschließend nicht nur ausgelesen, sondern auch modifiziert und gelöscht werden. Nachdem OnePlus über die Schwachstelle informiert wurde, hat der Hersteller Änderungen an der API vorgenommen. Die E-Mail-Adressen werden nun nicht mehr komplett im Klartext gespeichert. Außerdem wird sichergestellt, dass nur die App für den Zugriff verwendet werden kann.

Inzwischen scheint der Smartphone-Hersteller seine API weitestgehend überarbeitet zu haben. OnePlus betont, dass das Unternehmen Sicherheit ernst nimmt und jeder derartigen Meldung nachgeht. Momentan ist es mit der API nicht möglich, Account-Informationen ab­zu­ru­fen oder zu bearbeiten, da zusätzliche Anpassungen vorgenommen werden. Es wird le­dig­lich eine Fehlermeldung, dass ein funktionales Upgrade durchgeführt wird, angezeigt. Wann die Aktualisierung vollständig abgeschlossen ist, bleibt zunächst unklar. Smartphone, Leak, OnePlus, OnePlus Smartphone, OnePlus 7, OnePlus 7 Pro, Pop-Up-Kamera Smartphone, Leak, OnePlus, OnePlus Smartphone, OnePlus 7, OnePlus 7 Pro, Pop-Up-Kamera OnePlus
Diese Nachricht empfehlen
Kommentieren0


Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Philips Audio Kopfhörer Action Fit: Ear HookPhilips Audio Kopfhörer Action Fit: Ear Hook
Original Amazon-Preis
12,29
Im Preisvergleich ab
?
Blitzangebot-Preis
8,25
Ersparnis zu Amazon 33% oder 4,04
Nur bei Amazon erhältlich

Video-Empfehlungen

Tipp einsenden