Luego de la divulgación de la vulnerabilidad en la aplicación Mitron, otro clon viral de TikTok en India ahora se ha encontrado vulnerable a una vulnerabilidad de elusión de autenticación crítica pero fácil de explotar, que permite a cualquiera secuestrar cualquier cuenta de usuario y manipular su información, contenido e incluso cargar vídeos no autorizados.
La aplicación india para compartir videos, llamada Chingari, está disponible para teléfonos inteligentes Android e iOS a través de las tiendas oficiales de aplicaciones, diseñada para permitir a los usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con otros usuarios a través de una función de mensaje directo.
Lanzado originalmente en noviembre de 2018, Chingari ha experimentado un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de las aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes.
El gobierno indio prohibió recientemente 59 aplicaciones y servicios, incluidos TikTok de ByteDance, UC Browser y UC News de Alibaba Group, y WeChat de Tencent por cuestiones de privacidad y seguridad.
Si bien estas aplicaciones han sido eliminadas de las tiendas de aplicaciones de Apple y Google, varias alternativas locales, como Roposo, Chingari y Mitron de InMobi Group, han intensificado sus esfuerzos para aprovechar el vacío dejado por TikTok.
Cualquier cuenta de usuario de Chingari puede ser secuestrada en segundos
La aplicación Chingari para iOS y Android solicita a los usuarios que registren una cuenta al otorgar acceso de perfil básico a sus cuentas de Google, que es una parte estándar de la autenticación basada en OAuth.
Sin embargo, según Girish Kumarun investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada aleatoriamente para obtener información de perfil relevante y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.
https://www.youtube.com/watch?v=GuGCfGSNmMQ
Como se demuestra en el video que Kumar compartió con The Hacker News, esta identificación de usuario no solo se puede recuperar fácilmente, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de una víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta.
«El ataque no requiere ninguna interacción de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar el contenido que elija el atacante», dijo Kumar a The Hacker News en una entrevista por correo electrónico.
Como reveló The Hacker News en mayo, Mitron sufría exactamente la misma falla, lo que permitía que cualquier persona con acceso a la identificación de usuario única iniciara sesión en la cuenta sin ingresar ninguna contraseña.
“Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, el fecha de nacimiento, el país, la imagen de perfil, cargar/eliminar videos de usuarios, etc. en breve acceso a toda la cuenta”, dijo Kumar.
Eso no es todo. Una función separada en Chingari que permite a los usuarios desactivar el uso compartido de videos y los comentarios se pueden omitir simplemente ajustando el código de respuesta HTTP ({«compartir»: falso, «comentario»: falso}), lo que hace posible que una parte malintencionada comparte y comenta videos restringidos.
La actualización del parche de Chingari se lanzará hoy
Kumar reveló responsablemente el problema a los creadores de Chingari a principios de esta semana y, en respuesta, la empresa reconoció la vulnerabilidad.
Hacker News también contactó a Sumit Ghosh, fundador de Chingari, quien confirmó a la publicación que el problema se solucionará con la versión 2.4.1 de Chingari para Android y 2.2.6 para iOS, que se espera que se implemente en millones de sus usuarios a través de Google Play Store y la tienda de aplicaciones de Apple a partir de hoy.
Además de esto, para proteger a los usuarios que no actualizan su aplicación a tiempo, la empresa ha decidido deshabilitar el acceso a las API de back-end desde versiones anteriores de la aplicación.
Si es usuario de Chingari, se recomienda encarecidamente que actualice la aplicación tan pronto como esté disponible la última versión para evitar un posible uso indebido.
En un incidente separado, un investigador francés a principios de este mes descubrió que el sitio web de Globussoft, la compañía detrás de Chingari, también se había visto comprometida para alojar scripts de malware, redirigiendo a sus usuarios a páginas maliciosas.
Un estado de seguridad tan desafortunado destaca que adoptar aplicaciones autóctonas por el bien del nacionalismo es una cosa, pero las aplicaciones, especialmente para usuarios que no son expertos en tecnología, deben probarse rigurosamente teniendo en cuenta la privacidad y la seguridad.
¡No es una violación de datos!
ACTUALIZAR – Después del informe de The Hacker News, algunas publicaciones de medios han cubierto el mismo incidente como una ‘violación de datos’, lo que categóricamente es incorrecto.
Esto se debe a que la vulnerabilidad revelada no permite que los atacantes roben la información personal de la víctima almacenada en los servidores de la empresa; en cambio, podría haber sido explotado para manipular o violar una cuenta específica.
Además, dado que Chingari no solicita a sus usuarios que ingresen información personal o una contraseña, y usa ‘iniciar sesión con Google’ sin siquiera almacenar sus direcciones de correo electrónico, todo lo que un atacante podría hacer es desfigurar o usar indebidamente la cuenta de alguien para difundir información errónea o información inapropiada. contenido.
Un portavoz de la compañía le dijo a The Hacker News que el equipo de Chingari parchó la vulnerabilidad dentro de las 24 horas posteriores a que los investigadores lo informaron a la compañía y no encontraron evidencia de ningún uso indebido o compromiso de datos.
