![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Das chinesische Unternehmen OnePlus kommt wohl unter Druck. Einem Bericht nach leakt die OnePlus Wallpaper-App 'Shot on OnePlus' eMail-Adressen der Benutzer. Die Schwachstelle soll aber nun behoben sein. <\/p>\nDas chinesische Unternehmen OnePlus kommt wohl unter Druck. Einem Bericht nach leakt die OnePlus Wallpaper-App 'Shot on OnePlus' eMail-Adressen der Benutzer. Die Schwachstelle soll aber nun behoben sein. <\/p>\n
<\/p>\n
Wer ein OnePlus-Ger\u00e4t besitzt, hat m\u00f6glicherweise die Anwendung \"Shot on OnePlus\" bemerkt. Diese l\u00e4sst \u00fcber ein Auswahlmen\u00fc Wallpapers aufrufen. Die App erm\u00f6glicht Fotos, die von OnePlus-Benutzern hochgeladen wurden, als aktuelles Hintergrundbild auf dem Android-Ger\u00e4t festzulegen. Jeden Tag erscheint ein neues Foto in der Anwendung. Also etwas, was man nicht wirklich braucht. <\/p>\n Wenn Benutzer ein Foto hochladen, k\u00f6nnen sie einen Titel, einen Ort und eine Beschreibung des Fotos eingeben. Wenn das Foto von OnePlus ausgew\u00e4hlt wird, erscheint es \u00f6ffentlich in der Shot on OnePlus App und in der Galerie auf deren Website.<\/p>\n Die Shot on OnePlus-App verwendet eine API, um eine Verbindung zwischen dem OnePlus-Server und der App herzustellen. Fotos und andere Informationen, die online gespeichert werden m\u00fcssen, durchlaufen diese API. Normalerweise sind solche API-Aufrufe, insbesondere solche, die verwendet werden kann, um private Informationen \u00fcber Benutzer abzurufen, auf verschiedene Weise abgesichert.<\/p>\n Die von OnePlus verwendete API ist jedoch recht einfach auf open.oneplus.net <\/em>zug\u00e4nglich und kann von jedem mit einem Zugriffstoken verwendet werden. Das Zugriffstoken ist erforderlich, um die meisten Aktionen mit der API durchzuf\u00fchren. F\u00fcr die Abfrage des Zugriffstokens ist ein unverschl\u00fcsselter Schl\u00fcssel erforderlich, aber das ist sein einziger Zweck. Sowohl das Zugriffstoken als auch der unverschl\u00fcsselte Schl\u00fcssel sind alphanumerische Codes. Zwei Ziffern geben an, ob der Nutzer aus China (CN) oder von au\u00dferhalb (EN) kommt. Daran schlie\u00dft sich ein numerischer Wert in der Art 123456 an. Dieser Wert kann also durchaus durch Hochz\u00e4hlen probiert werden. <\/p>\n Die API wird haupts\u00e4chlich verwendet, um auf \u00f6ffentliche Fotos zuzugreifen. Dabei lassen sich von Dritten beim Abruf \u00f6ffentlicher Fotos per API sensible Daten finden, die normalerweise nicht \u00f6ffentlich zug\u00e4nglich sein sollten. Dazu geh\u00f6ren auch der Name des Nutzers, dessen E-Mail-Adresse sowie das Land, unter denen die Fotos gepostet wurden. <\/p>\n 9to5google.com hat dann OnePlus wegen dieser Probleme kontaktiert, aber keine direkte Antwort erhalten. Allerdings haben die OnePlus-Entwickler nach der E-Mail von 9to5google.com schnell reagiert und \u00c4nderungen an der API vorgenommen. Damit k\u00f6nnen die Daten beim Zugriff auf \u00f6ffentliche Fotos nicht mehr per API abgerufen werden. Details und Screenshots finden sie im 9to5google.com-Bericht<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Das chinesische Unternehmen OnePlus kommt wohl unter Druck. Einem Bericht nach leakt die OnePlus Wallpaper-App 'Shot on OnePlus' eMail-Adressen der Benutzer. Die Schwachstelle soll aber nun behoben sein.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[131,1440,426],"tags":[4308,4346,4328],"class_list":["post-219339","post","type-post","status-publish","format-standard","hentry","category-android","category-app","category-sicherheit","tag-android","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219339","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219339"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219339\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219339"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219339"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219339"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Vor ein paar Monaten entdeckten Redakteure von 9to5google.com einen etwas gr\u00f6\u00dferen Sicherheitsfehler, der viele OnePlus-Benutzer betraf. Das Unternehmen hatte die E-Mail-Adressen von Hunderten von Benutzern \u00fcber die App \"Shot on OnePlus\" weitergegeben. 9to5google.com berichtet hier<\/a> \u00fcber diese Schwachstelle, die mittlerweile behoben ist. Daher kann man die Details nun offen legen. <\/p>\n
Die Wallpaper-App \"Shot on OnePlus\"<\/h2>\n
Die Schwachstelle<\/h2>\n
Keine Antwort des Anbieters, aber Patch<\/h2>\n