Perangkat OnePlus hadir dengan aplikasi 'Shot on OnePlus' yang diduga memiliki kelemahan keamanan yang mengungkapkan alamat email ratusan penggunanya. Aplikasi ini menawarkan tempat untuk mengunggah foto yang dapat ditampilkan sebagai wallpaper oleh pengguna OnePlus secara global. Namun, API yang membuat tautan antara server OnePlus dan aplikasi Shot on OnePlus diduga membocorkan alamat email yang terkait dengan pengiriman foto. OnePlus diintimidasi tentang cacat pada awal Mei, dan sementara perbaikan diluncurkan, dilaporkan lebih banyak perubahan diperlukan sebelum benar-benar ditambal.
Aplikasi Shot on OnePlus, dapat diakses melalui menu pemilihan Wallpaper, meminta pengguna untuk masuk menggunakan alamat email mereka untuk mengunggah foto. Setelah diunggah, foto-foto yang dipilih dirilis ke publik melalui API yang ditemukan menawarkan akses mudah. Menurut laporan oleh 9to5Google, API memerlukan kunci yang tidak terenkripsi untuk mengambil token akses yang memungkinkan individu untuk melihat alamat email pengguna yang mengunggah foto mereka. API di-host di open.oneplus.net.
"Tidak jelas berapa lama kebocoran ini terjadi, tetapi karena OnePlus tidak punya alasan untuk membuat data ini publik setelah aplikasi keluar, kami percaya bocor data sejak dirilis - setidaknya beberapa tahun," laporan itu mencatat.
"Gid" digunakan dalam API untuk mengidentifikasi pengguna, membantu menemukan foto yang diunggah dan menghapusnya melalui server. Namun, itu termasuk dua huruf dan angka unik yang berpotensi digunakan untuk mengakses data sensitif, termasuk nama, alamat email, dan negara-negara pengguna. Ini juga dapat digunakan untuk mengubah informasi ini.
OnePlus awalnya tidak menanggapi permintaan email yang dikirim oleh 9to5Google terkait dengan masalah keamanan, tetapi kemudian memberikan pernyataan "OnePlus menganggap serius keamanan, dan kami menyelidiki semua laporan yang kami terima." Meskipun demikian, ia diam-diam membuat daftar perubahan pada API untuk memperbaiki kekurangan alamat email yang bocor, meskipun 9to5Google melaporkan bahwa perbaikan yang dilakukan pada API untuk cacat gid dapat di-bypass - pembaruan menambahkan bahwa perbaikan untuk ini juga muncul menjadi dalam karya, dengan modifikasi via gid saat ini diblokir. Perusahaan juga dilaporkan mengaburkan alamat email yang tersedia melalui API dengan menambahkan tanda bintang ke bagian lokal mereka dan membuat hanya bagian domain yang terlihat.
Untungnya, tidak ada laporan yang mengeksploitasi detail pengguna melalui celah keamanan telah muncul secara online. OnePlus juga diharapkan akan menggunakan penemuan ini sebagai pengalaman belajar untuk menerapkan langkah-langkah keamanan yang lebih kuat pada penawarannya. Kami telah menjangkau OnePlus untuk kejelasan tentang perbaikan dan akan memperbarui ruang ini ketika kami mendengar kembali.
Ini terutama bukan pertama kalinya ketika masalah keamanan telah terlihat pada perangkat OnePlus. Kembali pada Oktober 2017, perusahaan yang berbasis di Shenzhen telah menghadapi reaksi publik untuk masalah dalam OxygenOS yang membantu mengumpulkan data yang tidak teranonimisasi tanpa persetujuan pengguna. Perusahaan juga menjadi berita utama tahun lalu untuk kerentanan bootloader di OnePlus 6 yang menerima perbaikan segera.
