App Shot On OnePlus pierde datos de identificacion de los usuarios

aplicaciones

Nuestros teléfonos inteligentes capturan enormes cantidades de datos sobre nosotros, en términos de qué aplicaciones utilizamos, en qué pasamos la mayor parte del tiempo y otros patrones de uso

Se han convertido en nuestras principales computadoras y, por lo tanto, también tienen mucha información personal sobre nosotros. Si bien pretenden utilizar esta información para usos analíticos, a veces estos datos se difunden de manera que no deberían ser de acceso público. La última empresa de tecnología culpable de esto es OnePlus.

El aspecto del software en los teléfonos OnePlus a menudo es aplaudido por su desempeño y personalizaciones suaves. OxygenOS permite a los usuarios elegir entre una creciente colección de fondos de pantalla de origen público en la sección 'Disparar en OnePlus'. Es un proceso de envío simple en el que cualquier persona puede cargar imágenes con un clic, junto con una historia y ubicación de la imagen, y las seleccionadas se publican en la aplicación.

Sin embargo, 9to5Google pudo detectar una deficiencia en la que se podían recuperar los ID de correo electrónico de quienes se destacaban. La aplicación 'Shot on OnePlus' usa una API específica para conectar el servidor de datos y la aplicación, donde cualquier parte de los medios necesita pasar a través de esta API antes de ser guardada. Para un enlace tan sensible en la naturaleza, los protocolos de seguridad en su lugar eran bastante laxos. Su API podría ser utilizada por cualquier persona con un token de acceso, siempre y cuando tengan la clave para usarla. Ambos fueron aparentemente sin cifrar, y con un poco de investigación, se pudo encontrar información privada como las direcciones de correo electrónico de los usuarios.

Desde el informe original, OnePlus tomó algunos pasos para frenar la fuga de datos al agregar medidas de seguridad más sólidas a algunas partes de la API. Los ID de correo electrónico también se ocultan como "a*****@gmail.com" agregando asteriscos. También hay un paso adicional para la verificación para garantizar que solo la aplicación Shot on OnePlus está activando esta API.

La mayoría de las marcas de teléfonos inteligentes y muchas aplicaciones registran datos personales de los usuarios, pero de forma cifrada que no es pública. Incidentes como estos son recordatorios de que los paquetes de software pueden no ser siempre tan seguros como parecen, y pueden dejar atrás las puertas traseras. Imagine el desastre si esto hubiera sido descubierto por una aplicación de terceros con malas intenciones.

Semrush sigue a tu competencia


Fecha actualización el 2019-06-17. Fecha publicación el 2019-06-17. Categoria: aplicaciones Autor: Oscar olg Mapa del sitio Fuente: mashable Version movil