Dễ dàng hack mọi tài khoản của ứng dụng Chingari (TikTok Ấn Độ)

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi nǝıH, 13/07/20, 12:07 AM.

  1. nǝıH

    nǝıH Moderator Thành viên BQT

    Tham gia: 23/03/20, 11:03 PM
    Bài viết: 17
    Đã được thích: 14
    Điểm thành tích:
    3
    hack-chingari-app-account.jpg
    Sau khi lỗ hổng trong ứng dụng Mitron được công bố, một ứng dụng tương tự TikTok khác của Ấn Độ cũng được phát hiện tồn tại lỗ hổng nghiêm trọng trong cơ chế xác thực. Hacker có thể dễ dàng chiếm quyền bất kỳ tài khoản để thay đổi thông tin, nội dung thậm chí tải các video lên.

    Ứng dụng chia sẻ video của Ấn Độ trên có tên là Chingari. Người dùng có thể tải về từ Google Play Store và App Store để quay các video ngắn, cập nhật tin tức và kết nối với người dùng khác thông qua tính năng nhắn tin trực tiếp.

    Ra mắt lần đầu vào tháng 11 năm 2018, số lượt tải Chingari tặng vụt trong vài ngày qua sau lệnh cấm các ứng dụng của Trung Quốc vào cuối tháng 6/2020. Đã có hơn 10 triệu lượt tải ứng dụng này trên Google Play Store trong vòng một tháng.

    Chính phủ Ấn Độ gần đây đã cấm 59 ứng dụng và dịch vụ, bao gồm TikTok của ByteDance, UC Browser và UC News của Tập đoàn Alibaba và WeChat của Tencent. Vì vậy, một số công ty công nghệ của Ấn Độ đang nỗ lực thay thể các ứng dụng của Trung Quốc như Roposo, Chingari và Mitron của InMobi.

    Bất kỳ tài khoản người dùng nào của Chingari đều có thể bị lấy mất trong vài giây

    Ứng dụng Chingari cho các hệ điều hành iOS và Android đều yêu cầu người dùng đăng ký tài khoản bằng cách cấp quyền truy cập hồ sơ cơ bản của tài khoản Google. Đây là một phần tiêu chuẩn của xác thực dựa trên OAuth.

    Tuy nhiên, theo Girish Kumar, một nhà nghiên cứu an ninh mạng tại Dubai, Chingari sử dụng ID người dùng được tạo ngẫu nhiên để lấy thông tin hồ sơ tương ứng và dữ liệu khác từ máy chủ của mình mà không dựa vào bất kỳ mã hóa bí mật nào để xác thực và ủy quyền cho người dùng.
    Trong video Kumar đã chia sẻ, ID người dùng không chỉ dễ dàng bị lấy đi mà còn được sử dụng để thay thế ID của nạn nhân bằng các truy vấn HTTP để truy cập vào tài khoản.

    Theo chuyên gia này, "Cuộc tấn công không yêu cầu bất kỳ sự tương tác nào từ người dùng và có thể được thực hiện với bất kỳ tài khoản nào. Kẻ tấn công để có thể thay đổi cài đặt tài khoản hoặc tải lên một nội dung bất kỳ”

    Trước đó vào tháng 5, Mitron đã gặp phải lỗi tương tự, cho phép bất kỳ ai cũng có thể truy cập vào ID người dùng và dùng nó để đăng nhập vào tài khoản mà không cần nhập bất kỳ mật khẩu nào.

    Một tính năng trong Chingari cho phép người dùng tắt tính năng chia sẻ video và bình luận có thể bị bypass đơn giản bằng cách điều chỉnh HTTP response ({"share": false, "comment": false}), bằng cách này bạn có thể chia sẻ và bình luận trên các video bị tắt chia sẻ và bình luận.

    Cập nhật bản vá chính thức sẽ được phát hành

    Vấn đề này sẽ được vá trên phiên bản Chingari 2.4.1 cho Android và 2.2.6 cho iOS, dự kiến sẽ được tung ra cho hàng triệu người người dùng thông qua Google Play Store và App Store.

    Bên cạnh đó, để bảo vệ người dùng không cập nhật ứng dụng đúng thời gian, công ty đã quyết định vô hiệu hóa quyền truy cập vào API back-end từ các phiên bản cũ hơn của ứng dụng.

    Theo The Hacker News
     
    Chỉnh sửa cuối: 13/07/20, 12:07 AM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    linh24 thích bài này.