Cover Image

Qualsiasi account dell'App Chingari (Clone TikTok indiano) può essere hackerato facilmente

12 Luglio 2020 - Tempo di lettura: 25 minuti

A seguito della divulgazione di vulnerabilità nell'app Mitron, un altro clone virale di TikTok in India è stato ora trovato vulnerabile a una vulnerabilità di bypass di autenticazione critica ma facile da sfruttare, che consente a chiunque di dirottare qualsiasi account utente e manomettere le proprie informazioni, contenuti e persino caricare video senza essere autorizzati.

L'app indiana per la condivisione di video, chiamata Chingari, è disponibile per smartphone Android e iOS tramite app store ufficiali, progettata per consentire agli utenti di registrare video brevi, aggiornarsi sulle notizie e connettersi con altri utenti tramite una funzione di messaggio diretto.

Lanciato originariamente a novembre 2018, Chingari ha assistito a un enorme aumento di popolarità negli ultimi giorni a seguito del divieto dell'India di app di proprietà cinese alla fine del mese scorso, superando 10 milioni di download sul Google Play Store in meno di un mese.

Il governo indiano ha recentemente vietato 59 app e servizi, tra cui TikTok di ByteDance, il browser UC di Alibaba Group e UC News e WeChat di Tencent per motivi di privacy e sicurezza.


Mentre queste app sono state cancellate dagli app store di Apple e Google, diverse alternative coltivate in casa, come Roposo, Chingari e Mitron del gruppo InMobi, hanno intensificato i loro sforzi per incassare il vuoto lasciato da TikTok.

Qualsiasi account utente Chingari può essere dirottato in pochi secondi


L'app Chingari per iOS e Android chiede agli utenti di registrare un account concedendo l'accesso al profilo di base ai propri account Google, che è una parte standard dell'autenticazione basata su OAuth.

Tuttavia, secondo Girish Kumar, un ricercatore di sicurezza informatica presso la società Encode Middle East di Dubai, Chingari utilizza un ID utente generato casualmente per recuperare le rispettive informazioni del profilo e altri dati dal proprio server senza fare affidamento su alcun token segreto per l'autenticazione e l'autorizzazione dell'utente.

"L'attacco non richiede alcuna interazione da parte degli utenti target e può essere eseguito contro qualsiasi profilo per modificare le impostazioni del proprio account o caricare contenuti a scelta dell'attaccante", ha dichiarato Kumar a The Hacker News in un'intervista via e-mail.

Come ha rivelato The Hacker News a maggio, Mitron soffriva esattamente dello stesso difetto, consentendo a chiunque abbia accesso all'ID utente univoco di accedere all'account senza inserire alcuna password.



"Una volta che l'account di una vittima è stato compromesso utilizzando il metodo mostrato nel video, un utente malintenzionato può modificare il nome utente, il nome, lo stato, il DOB, il paese, l'immagine del profilo, caricare / eliminare i video degli utenti ecc. In breve accesso all'intero account", ha affermato Kumar.

Non è tutto. Una funzione separata in Chingari che consente agli utenti di disattivare la condivisione di video e commenti può essere semplicemente ignorata modificando il codice di risposta HTTP ({"share": false, "comment": false}), rendendo così possibile a un malintenzionato di condividere e commentare video con restrizioni.

L'aggiornamento della patch Chingari viene rilasciato l'11/07


Kumar ha comunicato in modo responsabile il problema ai produttori di Chingari all'inizio di questa settimana e l'azienda in risposta ha riconosciuto la vulnerabilità.

The Hacker News ha anche contattato Sumit Ghosh, fondatore di Chingari, che ha confermato alla pubblicazione che il problema verrà corretto con Chingari versione 2.4.1 per Android e 2.2.6 per iOS, che dovrebbe essere distribuito a milioni di gli utenti tramite Google Play Store e l'app store di Apple a partire dall'11/07.

Inoltre, per proteggere gli utenti che non aggiornano la loro app in tempo, la società ha deciso di disabilitare l'accesso alle API back-end dalle versioni precedenti dell'app.

Se sei un utente Chingari, si consiglia vivamente di aggiornare l'app non appena è disponibile l'ultima versione per evitare potenziali abusi.

In un incidente separato, a un ricercatore francese all'inizio di questo mese ha notato che anche il sito Web di Globussoft, la società dietro Chingari, era stato compromesso per ospitare script di malware, reindirizzando i suoi utenti a pagine dannose.

Un tale sfortunato stato di sicurezza evidenzia che abbracciare le app indigene per il nazionalismo è una cosa, ma le app, specialmente per gli utenti non esperti di tecnologia, devono essere testate rigorosamente tenendo conto della privacy e della sicurezza.


Non una violazione dei dati!


AGGIORNAMENTO - Dopo il rapporto di The Hacker News, alcune pubblicazioni dei media hanno trattato lo stesso incidente parlando di una "violazione dei dati", che categoricamente non è corretta.

Questo perché la vulnerabilità divulgata non consente agli aggressori di rubare le informazioni personali di una vittima archiviate sui server dell'azienda; invece, avrebbe potuto essere sfruttato per manomettere o violare un account mirato.

Inoltre, poiché Chingari non chiede ai suoi utenti di inserire alcuna informazione personale o una password e utilizza "accedi con Google" senza nemmeno memorizzare i loro indirizzi e-mail, tutto ciò che un utente malintenzionato potrebbe fare è deturpare o abusare dell'account di qualcuno per diffondere disinformazione o commenti inadeguati.

Un portavoce della società ha dichiarato a The Hacker News che il team Chingari ha corretto la vulnerabilità entro 24 ore dopo che i ricercatori l'hanno denunciata alla società e non hanno trovato prove di alcun uso improprio o compromissione dei dati.

intopic.it