De OnePlus-app Shot on OnePlus was waarschijnlijk jarenlang gemakkelijk te misbruiken om privé-informatie van gebruikers te verzamelen, blijkt uit onderzoek van 9to5Google.

Het gaat om data zoals e-mailadressen en locaties van gebruikers. 9to5Google ontdekte het lek enkele maanden geleden en het is inmiddels deels door OnePlus gedicht. De website wijst er echter op dat het nog steeds vrij gemakkelijk is om informatie te verzamelen uit de app.

Shot on OnePlus is een app die het mogelijk maakt om foto's te delen voor de achtergrond van de smartphone. Gebruikers kunnen hun eigen foto's uploaden via de app of website van OnePlus. Kiest OnePlus een foto uit, dan wordt deze beschikbaar gesteld aan andere OnePlus-gebruikers.

API niet goed beveiligd

Volgens 9to5Google zat er relatief weinig beveiliging op de achterliggende API, die data verstuurt en ophaalt van de servers. Iedereen die de juiste token en sleutel bezat, kon informatie opvragen van de API. Beide elementen bestonden uit korte codes die gemakkelijk te verkrijgen waren.

Met de token kon je informatie opvragen over foto's, waaronder het e-mailadres van de gebruiker die deze geüpload heeft, en waar deze zich bevindt. Ook de 'gid', de unieke code van een gebruiker, was zo gemakkelijk te achterhalen.

De 'gid' maakt het mogelijk om nog meer informatie op te vragen en zelfs aan te passen. Ook kon 9to5Google gemakkelijk de informatie van andere gebruikers inzien door de cijfers in de 'gid' aan te passen.