A OnePlus não é estranha a casos de falhas de segurança e hoje temos conhecimento de mais uma. Em causa está a aplicação "Shot on OnePlus" que, segundo o 9to5 Google, tem partilhado centenas de emails dos seus utilizadores.
A aplicação "Shot on OnePlus" vem instalada de fábrica nos smartphones da marca chinesa. Com esta aplicação é possível ter acesso a fotografias tiradas por outros utilizadores OnePlus e ainda partilhar as nossas. O único requisito é que as fotos tenham sido tiradas com um smartphone da marca.
Para fazer o upload de uma foto é necessária a partilha de várias informações como título, localização e descrição. Outro requerimento é possuir uma conta que, naturalmente, contém dados como o nosso nome, país e endereço de email.
Qual a informação que está a ser partilhada?
Esta falha de segurança está a possibilitar que utilizadores com acesso a uma API da OnePlus tenham conhecimento dos dados pessoais dos utilizadores da aplicação "Shot on OnePlus". Estando esta API disponível num servidor público, qualquer um poderia ter acesso a todos estes dados.
A API responsável por esta falha de segurança faz a ponte entre o servidor e aplicação "Shot on OnePlus". Todas as fotografias partilhadas nesta aplicação têm obrigatoriamente de passar por esta API. Qualquer um com acesso ao token desta API poderia facilmente ter acesso aos dados dos utilizadores.
Esta falha de segurança permite identificar os utilizadores
Para piorar a situação, a OnePlus possui um protocolo que lhe permite identificar cada um dos seus utilizadores. Esse protocolo é conhecido como "gid" e é composto por duas letras e um conjunto de números.
As letras são referentes ao país de origem do utilizador. No caso de ser da China possui as letras CN, mas caso seja de qualquer outra localização temos as letras EN. Já os números são compostos por seis algarismos. Este "gid" é gerado assim que qualquer utilizador faça login na aplicação "Shot on OnePlus".
Estes códigos foram concebidos para que a empresa chinesa seja capaz de identificar os responsáveis por cada fotografia. Esta informação é usada, sobretudo, nos casos em que OnePlus pretende eliminar uma determinada fotografia.
OnePlus já resolveu o problema
Depois de se deparar com este cenário, o site 9to5 Google entrou em contacto com a OnePlus. Embora não tenham obtido qualquer resposta, nota-se que a empresa chinesa já tomou medidas para proteger os dados dos seus utilizadores.
Agora, os endereços de email que podem ser obtidos os explorar esta API estão a aparecer mascarados por asteriscos. Para além disso, o tal "gid" já não está a ser partilhado em caso de exploração desta falha de segurança.
Este não é o primeiro caso de falhas de segurança em aplicações da OnePlus. Em 2017 foi descoberto que uma outra app da chinesa estaria a partilhar informações sensíveis dos seus utilizadores. Este novo caso revela-nos que a OnePlus deveria ter mais cuidado com os protocolos de segurança do seu software.