Inicio / Alertas / Cualquier cuenta de la aplicación Chingari (Indian TikTok Clone) puede ser hackeada fácilmente

Cualquier cuenta de la aplicación Chingari (Indian TikTok Clone) puede ser hackeada fácilmente

Tras la divulgación de la vulnerabilidad en la aplicación Mitron, otro clon viral de TikTok en la India ahora se ha encontrado vulnerable a una vulnerabilidad de omisión de autenticación crítica pero fácil de explotar, lo que permite a cualquiera secuestrar cualquier cuenta de usuario y alterar su información, contenido e incluso subir videos no autorizados

La aplicación para compartir videos de la India, llamada Chingari, está disponible para teléfonos inteligentes Android e iOS a través de tiendas de aplicaciones oficiales, diseñada para permitir a los usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con otros usuarios a través de una función de mensaje directo.

Originalmente lanzado en noviembre de 2018, Chingari ha sido testigo de un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes.

El gobierno indio recientemente prohibió 59 aplicaciones y servicios, incluidos TikTok de ByteDance, UC Browser y UC News de Alibaba Group, y WeChat de Tencent por preocupaciones de privacidad y seguridad.

Si bien estas aplicaciones han sido eliminadas de las tiendas de aplicaciones de Apple y Google, varias alternativas locales, como Roposo, Chingari y Mitron de InMobi Group, han aumentado sus esfuerzos para sacar provecho del vacío dejado por TikTok.

Cualquier cuenta de usuario de Chingari puede ser secuestrada en segundos

La aplicación Chingari para iOS y Android solicita a los usuarios que registren una cuenta otorgando acceso básico a sus cuentas de Google, que es una parte estándar de la autenticación basada en OAuth.

Sin embargo, según Girish Kumar, investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada aleatoriamente para obtener la información de perfil respectiva y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.

Como se demostró en el video que Kumar compartió, esta identificación de usuario no solo se puede recuperar fácilmente, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de la víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta.

“El ataque no requiere ninguna interacción por parte de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar contenido de la elección del atacante”, dijo Kumar en una entrevista por correo electrónico.

Como reveló en mayo, Mitron sufrió exactamente el mismo defecto, lo que permite que cualquier persona con acceso a la identificación de usuario única inicie sesión en la cuenta sin ingresar ninguna contraseña.

“Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc., en breve acceso a toda la cuenta”, dijo Kumar.

Eso no es todo. Una característica separada en Chingari que permite a los usuarios desactivar el uso compartido de videos y los comentarios se puede omitir simplemente modificando el código de respuesta HTTP ({“share”: false, “comment”: false}), lo que hace posible que una parte malintencionada pueda compartir y comentar videos restringidos.

La actualización del parche Chingari se lanzará hoy

Kumar reveló responsablemente el problema a los fabricantes de Chingari a principios de esta semana, y la compañía en respuesta reconoció la vulnerabilidad.

El fundador de Chingari, quien confirmó que el problema se parcheará con Chingari versión 2.4.1 para Android y 2.2.6 para iOS, que se espera que se extienda a millones de sus usuarios a través de Google Play Store y Apple App Store a partir de hoy.

Además de esto, para proteger a los usuarios que no actualizan su aplicación a tiempo, la compañía ha decidido deshabilitar el acceso a las API de back-end de las versiones anteriores de la aplicación.

Si usted es un usuario de Chingari, se recomienda que actualice la aplicación tan pronto como esté disponible la última versión para evitar un posible uso indebido.

En un incidente separado, un investigador francés a principios de este mes descubrió que el sitio web de Globussoft, la compañía detrás de Chingari, también se había visto comprometido a alojar scripts de malware, redirigiendo a sus usuarios a páginas maliciosas.

Un estado de seguridad tan desafortunado destaca que abrazar las aplicaciones indígenas por el nacionalismo es una cosa, pero las aplicaciones, especialmente para los usuarios no expertos en tecnología, deben probarse rigurosamente mientras se tiene en cuenta la privacidad y la seguridad.

No es una violación de datos!

ACTUALIZACIÓN: después del informe, algunas publicaciones de los medios han cubierto el mismo incidente como una ‘violación de datos’, que categóricamente es incorrecta.

Esto se debe a que la vulnerabilidad revelada no permite a los atacantes robar la información personal de la víctima almacenada en los servidores de la compañía; en cambio, podría haber sido explotado para alterar o violar una cuenta específica.

Además, dado que Chingari no les pide a sus usuarios que ingresen información personal o una contraseña, y usa ‘iniciar sesión con Google’ sin siquiera almacenar sus direcciones de correo electrónico, todo lo que un atacante podría hacer es desfigurar o usar mal la cuenta de alguien para difundir información incorrecta o inapropiada contenido.

Un portavoz de la compañía le dijo a The Hacker News que el equipo de Chingari parchó la vulnerabilidad dentro de las 24 horas posteriores a que los investigadores la reportaron a la compañía, y no encontró evidencia de mal uso o compromiso de los datos.

 

 

Vea También

Engaño por WhatsApp hace creer que Carrefour está regalando tarjetas con dinero

Un nuevo engaño está circulando a través de WhatsApp en el que los delincuentes utilizan …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.