freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

黑客可轻易入侵任意Chingari App(印度TikTok克隆版)账户
2020-07-13 17:27:43

继Mitron app中的漏洞遭到披露后,另一款印度TikTok克隆版应用被发现存在一个超危且容易利用的身份认证绕过漏洞,攻击者可利用该漏洞劫持任意用户账户,篡改用户信息,内容,甚至上传未授权的视频。

该印度视频共享应用名为Chingari,Android和iOS智能手机用户可通过官方应用商店下载。使用该应用,用户可录制短视频,获悉新闻信息,或借助直接的消息功能与其他用户联系。

Chingari最初于2018年11月推出,印度上个月月末开始禁用中国应用,随后在过去几天内,该应用的受欢迎程度大幅上升,在不到一个月的时间里,它在谷歌Play Store上的下载量就超过了1000万次。

印度政府最近以“隐私和安全”为由,禁用了59款应用和服务,包括字节跳动的TikTok,阿里巴巴的UC浏览器和UC新闻以及腾讯的微信。

任意Chingari用户账户可在数秒内被劫持

iOS版和Android版的Chingari app要求用户通过授予对其Google帐户的基本信息访问权限来注册帐户,这是基于OAuth的身份认证的标准部分。

然而,根据迪拜Encode Middle East公司的网络安全研究人员Girish Kumar的说法,Chingari使用随机生成的用户ID从其服务器获取相应的用户信息和其他数据,而没有依赖于任何用于用户身份认证和授权的秘密令牌。

Kumar与外媒The Hacker News分享了一段视频,在该视频中,攻击者不仅可以轻易检索用户ID,还可以在HTTP请求中将受害者的用户ID替换成该ID,以获取对账户信息的访问权限。

Kumar在回复The Hacker News的邮件中表示,“该攻击不需要目标用户的任何交互,攻击者可对任意用户账户信息执行该攻击,以修改用户账户设置或上传攻击者选择的内容。”

正如The Hacker News在5月份披露的那样,Mitron受到了完全相同的漏洞影响,任何能够访问唯一用户ID的攻击者可利用该漏洞登录用户账户,而不用输入任何秘密。

Kumar表示,“一旦攻击者使用视频中的方法入侵受害者的账户,攻击者就可以修改用户名,名称,状态,生日,国家,账户图片,上传/删除用户视频等,简单地说,访问整个账户。”

这并不是全部。攻击者可通过微调HTTP响应代码({"share":false,"comment":false})轻易绕过Chingari中另一个允许用户关闭视频共享和评论的功能,因此恶意第三方有可能共享和评论受限的视频。

Chingari补丁更新近日即将发布

Kumar本周早些时候负责任地将该漏洞披露给Chingari的开发商,该公司在回复中承认了该漏洞。

The Hacker News还联系了Chingari的创始人Sumit Ghosh,Ghosh确认Chingari 2.4.1(Android)和2.2.6(iOS)将会修复该漏洞。预计从今天(7月13日)开始,新版本将通过谷歌Play Store和Apple应用商店向数百万用户发布。

此外,为了保护没有及时更新应用的用户,该公司还决定禁用对旧版本后端API的访问。

本月早些时候,一位法国研究员在另一起事件中发现,Chingari背后的公司Globussoft的网站也遭到了入侵,以托管恶意软件脚本,重定向用户至恶意页面。

这种不幸的安全状态突出表明,为了民族主义而拥抱本地应用程序是一回事,但应用,特别是给不懂技术的用户使用的应用,必须严格测试,同时牢记隐私和安全。

并非数据入侵!

在The Hacker News报道之后,一些媒体将该事件报道为‘数据入侵’,这种分类是错误的。

这是因为攻击者无法利用该披露的漏洞窃取存储在该公司服务器上的受害者的个人信息,攻击者可利用该漏洞篡改或入侵目标账户。

并且,由于Chingari未要求用户输入任何个人信息或秘密,且甚至在未存储用户邮件地址的情况下使用‘sign in with Google’,攻击者所能够做的是毁损或滥用用户账户以传播假消息或不适当的内容。

该公司的一名发言人对The Hacker News表示,在研究人员向该公司报告漏洞后,Chingari团队在24小时内修复了该漏洞,并且目前尚未发现该漏洞遭到滥用的或数据遭到入侵证据。

--------------------------

本文源自The Hacker News;转载请注明出处。

# 资讯
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者