Lek in Shot On OnePlus-functie maakte uitlezen e-mailadressen mogelijk

OnePlus-telefoons hadden lange tijd een kwetsbaarheid waarbij het mogelijk was e-mailadressen van gebruikers van de Shot On OnePlus-functie te achterhalen. Dat kwam door een zwakke plek in de api. Inmiddels is het lek wel gedicht.

Dat ontdekte 9to5Google, dat OnePlus inlichtte over het lek. Dat is inmiddels gedicht. Het lek zat in de Shot On OnePlus-functie, een onderdeel van de wallpaper-app van het bedrijf. Shot On OnePlus bevatte foto's van andere OnePlus-gebruikers die zo hun eigen foto's als wallpaper met andere gebruikers konden delen. Zij konden dat direct vanuit de app zelf doen, of foto's uploaden naar een website. Om een foto te uploaden moesten gebruikers een account aanmaken.

9to5Google ontdekte dat er een lek in de api achter de feature zat. Om de api te gebruiken moesten gebruikers een sleutel en een toegangstoken hebben, maar beide bestonden uit slechts een korte alfanumerieke code. Die code was te achterhalen door het id van een foto op te zoeken via de api. Met de api bleek het bovendien niet alleen mogelijk te zijn om de foto en foto-informatie op te vragen, maar ook e-mailadressen.

OnePlus heeft nog niet gereageerd op de vondst, maar wel stilletjes de api veranderd zodat het niet meer mogelijk is informatie uit de api te achterhalen.

Reacties (38)

Verwijderd 15 juni 2019 08:54

Tijdens het installeren van shot on vond ik dat er teveel gevraagd werd, dus maar niet geïnstalleerd.

Dit het niets te maken met het OS, maar een applicatie daarboven op. Nog steeds fout, maar je moet wel even nadenken of je verder met de installatie/activering wil als er dingen gevraagd worden die niet direct te koppelen zijn aan waarde, nut of noodzaak voor jezelf als gebruiker.

YangWenli @Verwijderd • 15 juni 2019 14:39

Schappelijk van OnePlus: dat je zélf de keuze hebt welke apps je wel of niet op je telefoon wil hebben. Er zijn fabrikanten die daar anders over denken (Samsung, Google, Xiaomi).

Verwijderd @YangWenli • 15 juni 2019 15:59

Inderdaad. Dat kan ik achter toen ik mijn vrouw hielp met een S10e ... Wat een zooi komt ermee en waar je niks mee kunt.

Mooi voorbeeld Bixby kun je niet gebruiken zonder account. Je kunt het niet compleet vervangen omdat minimaal één fysieke knop eraan gekoppeld moet worden. Zelf geen assistent is geen optie.

Osiummaster @Verwijderd • 16 juni 2019 02:13

Samsung telefoons zijn puur bloatware. Als je reviews bekijkt denk je de hardware valt mee maar als je die rotzooi in handen krijgt snap je niet dat iemand het ooit meer dan een 5/10 kan geven.

robbinwehl @Osiummaster • 17 juni 2019 11:37

eens +10

vieze vieze troep phones zijn dat , hardware is goed software is om te huilen

Wolliebolly @Wim-Bart • 14 juni 2019 21:21

Ik reageer normaliter niet op dit type opmerkingen, maar bij iOS of een kale stock Android versie kunnen ook kwetsbaarheden voorkomen. Heeft in dit geval erg weinig te maken met custom software.

AndromedaM31 @Wolliebolly • 14 juni 2019 22:31

Ehm, er komen dan vaker kwetsbaarheden voor lijkt mij. Bv. Samsung heeft naast de bugs van stock Android ook nog eens bugs van hun eigen implementaties/extra software. Daarnaast als je meer man op een stukje code hebt dan kom je sneller achter bugs. Nu is het meer gefragmenteerd.

Waar zegt Wim-Bart dat bij iOS of een kale Android geen bugs voorkomen? Nergens dus. Die -1 voor hem is onterecht, hij heeft een goed punt.

[Reactie gewijzigd door AndromedaM31 op 23 juli 2024 08:30]

vosManz @AndromedaM31 • 15 juni 2019 02:40

Meer kwetsbaarheden is enkel van toepassing voor wat je toevoegt. Samsung zal bijvoorbeeld de launcher vervangen, waardoor het risico op bugs in de standaard launcher komt te vervallen (want die halen ze er uit en vervangen ze door in eigen launcher).

Meer man op een stukje code is absoluut geen garantie op minder bugs. Het kan naar mijn mening juist een risico zijn. Veel mensen met een andere manier van coderen, met andere gedachten of kennisniveaus kan een code juist erg inconsistent of onoverzichtelijk maken, waardoor het risico op bugs juist hoger kan zijn.

DigitalExorcist @Wolliebolly • 15 juni 2019 08:59

Hoe meer je installeert, hoe groter je attack surface. Natuurlijk kan een kaal OS ook problemen hebben maar minder dan wanneer er een berg applicaties op staat.

sjettepetJR. @DigitalExorcist • 15 juni 2019 15:09

Op die manier kan je ook beargumenteren dat een telefoon zo min mogelijk features moet hebben.

Ik ben het wel met je eens dat het fijn zou zijn om systeem-apps te verwijderen.

DigitalExorcist @sjettepetJR. • 15 juni 2019 19:28

Tsja. Ik ben ook geen voorstander van meegeleverde meuk. iOS heeft daar niet zoveel last van gelukkig. En een flink aantal systeemapps kun je alsnog verwijderen als t moet.

gamezfreak @Wim-Bart • 14 juni 2019 22:56

Zo zie je maar wat al die custom software van fabrikanten kan veroorzaken. Nog meer een reden om een zo kaal mogelijk Google OS te leveren.

Een kale Google OS bestaat niet. Dan krijg je te maken met AOSP (Android Open Source Project). Alles wat door de mens gemaakt is, kan fouten bevatten.

Custom rom's zijn veelal door community gemaakt, enkelen worden door de fabrikanten zelf gemaakt en/of meegewerkt. In algemeen zijn custom rom's wel degelijk, gezien je de code zelf in kan zien als je het wilt. Het risico neemt echter niet af dat bepaalde dingen niet werken of dat er bugs zijn waardoor er eventueel misbruik gemaakt kan worden.

Wat belangrijk is, is dat er adequaat gereageerd wordt en op tijd een patch wordt uitgebracht. Daarom zijn er ook bug bounty programma's waar mensen geld kunnen verdienen door een bug / zero day te vinden.

vosManz @Wim-Bart • 15 juni 2019 02:30

1+1=2. Meer code is meer kans op fouten.
Niet alleen van fabrikanten, ook de nieuwe functies die aan Android (of aan ieder ander OS of app) worden toegevoegd kunnen fouten bevatten en kunnen daarmee en risico vormen. Zullen we dan maar stoppen met het maken van nieuwe dingen?

In dit geval was er enkel misbruik mogelijk als je:
1. De app gebruikt
2. Eigen foto's deelt met andere gebruikers
3. Dat doet door de foto's te uploaden naar de website

Voldoe je niet aan alle 3 de voorwaarden dan was je niet kwetsbaar. En dat zal voor veel OnePlus bezitters van toepassing zijn, als je de app niet gebruikt of enkel gebruikt om wallpapers te downloaden is er dus niets aan de hand.

Daarnaast is deze app gewoon te verwijderen, wat ik op mijn OnePlus 6T heb gedaan. Het is dus geen bloatware van de variant die niet te verwijderden is. OnePlus is daarin naar mijn mening juist een fabrikant die erg weinig bloat toevoegt, en wat ze toevoegen is grotendeels ook nog verwijderbaar (incl. bloat van Google). Daar kunnen veel fabrikanten nog wat van leren.

Verwijderd @vosManz • 15 juni 2019 16:01

0 de app installeert/activeert... De app was niet standaard live en ik heb deze app nooit gehad

vosManz @Verwijderd • 15 juni 2019 19:18

Op mijn 6T stond de app er wel standaard op, maar mogelijk is dat inderdaad niet zo voor alle modellen/varianten

Zanbee @Wim-Bart • 15 juni 2019 10:02

Alle software van alle ontwikkelaars kunnen/zullen lekken bevatten de bewuste applicatie heeft weinig met het OS zelf te maken. Is gewoon een applicatie die door Oneplus mee geleverd wordt. Het had net zo goed een applicatie die vanuit Google Play geïnstalleerd was. Hoe meer software hoe meer mogelijkheden op bugs.

FooLsKi @Wim-Bart • 15 juni 2019 10:44

Op een compleet vanilla Android kan je ook brakke apps draaien... Shot On OnePlus is onderdeel van de wallpaper-app en dus niet van OxygenOS.

bazs2000 @Wim-Bart • 15 juni 2019 01:46

Op dit moment van schrijven heeft de reactie van Wim-Bart 120 (!!!) -1's te pakken. Ik ben geen karmahoer dus de -1 die ik hiervoor kan krijgen maakt niet uit omdat het om het grotere geheel gaat.

Wim-Bart heeft hier gewoon gelijk, hoe minder je aan een OS toevoegt hoe lager het totale aantal bugs is. Fabrikanten die zaken toevoegen, voegen ook bugs toe en dat is een feit (we zitten op Tweakers, dit kan iedereen zelf uitzoeken).

Jezelf bij de basis houden is goed (Android One) en alles wat je op deze basis legt is een extra risico. Zegt Wim-Bart dat OnePlus slecht is? Nee! Zegt Wim-Bart dat het toevoegen van custom software extra bugs kunnen toevoegen? Ja!

Zijn reactie is volledig ontopic. Deze had op +1 moeten staan, zijn reactie zegt alles en dit zou iedere Tweaker moeten weten (hiervoor komen wij hier toch?). 120 -1's, ik kan er met mijn pet niet bij. Dit betekent 120x de moderatieFAQ niet gevolgd wat een bizar aantal is.

Ik zie dit vaker gebeuren en deze spant toch wel de kroon. Wim-Bart, van mij krijg je een warme douche en een boost +1 omdat jouw reactie ontopic en netjes is. +1 is de score volgens de FAQ en daar valt niets tegenin te brengen. De reactie van Wim-Bart toont aan dat meningmodden een uit de hand gelopen probleem is hier op T.net.

Jeroenneman @bazs2000 • 15 juni 2019 08:21

Hij krijgt gewoon terecht die -1.

Als je echt een zo kaal mogelijk OS draait, dan zul je alles via apps moeten oplossen, waar ook bugs in kunnen zitten. Die apps installeer je dan weer vanuit een omgeving die Google weigert fatsoenlijk te controleren. En Google Android is ook zeker niet bugvrij.

Boy @Jeroenneman • 15 juni 2019 08:58

Waarom is het dan terecht? Is het een flamebait of zo?

Alex3 @Jeroenneman • 15 juni 2019 09:28

-1 is niet bedoeld voor berichten waar je het niet mee eens bent, een veel gemaakte fout.

AndromedaM31 @Jeroenneman • 15 juni 2019 12:07

Het is een reden/argument. Het hoeft dus niet.

Tegenwoordig word er zoveel extra software geleverd bij Android telefoons, het meeste word niet gebruikt maar levert wel extra risico's op, of het wordt eventjes gebruikt om te kijken wat het is. Het argument voor een kale Android snap ik wel, installeer alleen de apps die je nodig hebt. (Apps die veilig zijn en daar een goede reputatie van hebben)

En zullen we het eens over de definitie van kaal hebben? Weet jij wat de definitie van Wim-Bart is? Zo kaal mogelijk suggereert dat het niet helemaal kaal hoeft. Helemaal kaal hoeft in deze context niet, anders zei hij het niet zo. Zoals het op mij overkomt zitten we hier met (veel?) minners die onbewuste vooroordelen hebben.

bazs2000 @Jeroenneman • 15 juni 2019 09:31

Uit de FAQ:

Ongewenst Ongewenst

Het niveau -1 is het afvalputje voor reacties waarvan je liever had gezien dat ze niet geplaatst waren. In deze categorie vallen de flamebaits, trolls, doelloze first posts, zware off-topic berichten zonder enige toegevoegde waarde, misplaatste grappen, onnodig kwetsende reacties en allerlei andere reacties die een onvriendelijk karakter hebben of op andere wijze zijn bedoeld om irritatie of overlast te veroorzaken.

Reacties zonder enige toegevoegde waarde, bijvoorbeeld een kreet van een paar woorden waar niemand op zit te wachten, kunnen tevens een -1 waard zijn afhankelijk van de context waarin zij geplaatst zijn. In reacties op .plans (aankondigingen en mededelingen van de Tweakers-crew) mag soepeler gemodereerd worden dan in nieuwsartikelen en reviews. In artikelen met een zakelijke inhoud, gericht op een professionele doelgroep, of artikelen waarin reeds zeer veel reacties zijn geplaatst, mogen strengere richtlijnen gehanteerd worden.

Het is niet de bedoeling dat reacties waarin een mening wordt verkondigd die in strijd is met jouw persoonlijke mening, worden bestraft met een -1, enkel vanwege het meningsverschil. Een kritische noot is niet automatisch een troll of flamebait. De kwaliteit van de argumentatie is bepalend voor de waardering van een reactie.

Vertel nu nog eens waarom de -1 terecht is volgens jou?

vooviro @Inproba • 14 juni 2019 22:29

Het feit dat het juist elke maand geüpdatet wordt maakt het "veilig" iets wat niet onderhouden wordt is juist onveilig... snap niet waar je het vandaan haalt dat veel updates voor iets hebben betekend dat het onveilig is...

Je snapt dat iets ALTIJD, gehackt, of exploits gevonden kunnen worden of noem maar verschillende andere dingen op... het is niet de vraag of het gebeurd... Maar wanneer... de truc is juist sneller zijn dan de mensen die dit vinden/doen...

[Reactie gewijzigd door vooviro op 23 juli 2024 08:30]

MrMonkE @vooviro • 15 juni 2019 15:14

Ik denk dat zijn punt is dat het al veilig had moeten zijn en een update voor de veiligheid niet noodzakelijk zou mogen zijn. Een soort IT Utopia waar software bugvrij is.

Finger @Wim-Bart • 15 juni 2019 17:33

Alleen is dit geen toevoeging maar een losse app zoals je er zoveel kan installeren uit de appstore. Ik heb deze app helemaal niet staan op mijn oneplus hoor. Oneplus komt bijna kaal, ze maken wel apps maar die zul je zelf moeten downloaden.

[Reactie gewijzigd door Finger op 23 juli 2024 08:30]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (38)

Sorteer op:

Weergave: