Shot on OnePlus: Viele Nutzerdaten über Wallpaper-App durchgesickert

Schon vor einigen Monaten sind durch eine Sicherheitslücke in der App „Shot on OnePlus“ zahlreiche Nutzerdaten an die Öffentlichkeit gelangt. Obwohl mehrere Fehler inzwischen behoben wurden, blieb das Kern­pro­blem noch bestehen. OnePlus soll derzeit an einer Lösung arbeiten.

Die App „Shot on OnePlus“ ermöglicht es, Bildaufnahmen mit einem OnePlus-Smartphone anzufertigen und diese anschließend einzusenden. Aus einem Bericht von 9to5google geht hervor, dass die Sicherheitsmechanismen dabei jedoch völlig unzureichend sind. Die API, die für die Übertragung der Aufnahme vom Gerät zum Server zuständig ist, nutzt überhaupt kei­ne Verschlüsselung oder Authentifizierung. Das stellt natürlich ein großes Problem dar, da neben der Aufnahme an sich unter anderem die E-Mail-Adresse des Einsenders übertragen wird. OnePlus wurde im Mai auf das Problem hingewiesen. Ein Statement erfolgte aber nicht.

Access-Token ohne Verschlüsselung

In regelmäßigen Abständen wählt OnePlus ein eingesendetes Bild aus, welches dann auf allen Smartphones mit entsprechenden Einstellungen als Wallpaper festgelegt wird. Dabei lädt die App die nötigen Daten mit Hilfe der gleichen Schnittstelle herunter. Für einen erfolgreichen Zugriff wird ein Access-Token benötigt, der allerdings ohne großen Aufwand mit einem unverschlüsselten Schlüssel generiert werden kann. Bei beiden Informationen handelt es sich um alphanumerische Zeichendarstellungen.

Dabei spielt die sogenannte „gid“ eine große Rolle. Hiermit wird ein Nutzer der App identifiziert. Die Kodierung besteht aus zwei Buch­sta­ben, welche den Nutzer einer Region zuordnen (CN/EN) sowie einer eindeutigen Zahlen-ID wie „123456“. Natürlich ist es Angreifern somit sehr einfach möglich, eine fremde „gid“ zu erzeugen. Die Daten des Nutzers können anschließend nicht nur ausgelesen, sondern auch modifiziert und gelöscht werden. Nachdem OnePlus über die Schwachstelle informiert wurde, hat der Hersteller Änderungen an der API vorgenommen. Die E-Mail-Adressen werden nun nicht mehr komplett im Klartext gespeichert. Außerdem wird sichergestellt, dass nur die App für den Zugriff verwendet werden kann.

Inzwischen scheint der Smartphone-Hersteller seine API weitestgehend überarbeitet zu haben. OnePlus betont, dass das Unternehmen Sicherheit ernst nimmt und jeder derartigen Meldung nachgeht. Momentan ist es mit der API nicht möglich, Account-Informationen ab­zu­ru­fen oder zu bearbeiten, da zusätzliche Anpassungen vorgenommen werden. Es wird le­dig­lich eine Fehlermeldung, dass ein funktionales Upgrade durchgeführt wird, angezeigt. Wann die Aktualisierung vollständig abgeschlossen ist, bleibt zunächst unklar.