0

  • Votre panier est vide.

  • COMPTE

Tout compte d’application Chingari (Indian TikTok Clone) peut être piraté facilement

Certains articles de veille peuvent faire l'objet de traduction automatique.

Suite à la divulgation de la vulnérabilité dans l’application Mitron, un autre clone viral de TikTok en Inde a maintenant été trouvé vulnérable à une vulnérabilité de contournement d’authentification critique mais facile à exploiter, permettant à quiconque de pirater n’importe quel compte d’utilisateur et de falsifier ses informations, son contenu et même le télécharger. vidéos non autorisées.

L’application indienne de partage de vidéos, appelée Chingari, est disponible pour les smartphones Android et iOS via les magasins d’applications officiels, conçue pour permettre aux utilisateurs d’enregistrer des vidéos courtes, de se tenir au courant des nouvelles et de se connecter avec d’autres utilisateurs via une fonction de message direct.

Lancé à l’origine en novembre 2018, Chingari a connu une énorme montée en popularité au cours des derniers jours à la suite de l’interdiction par l’Inde des applications appartenant à des Chinois à la fin du mois dernier. 10 millions de téléchargements sur le Google Play Store dans moins d’un mois.

Le gouvernement indien récemment interdit 59 applications et services, y compris TikTok de ByteDance, le navigateur UC et UC News du groupe Alibaba, et WeChat de Tencent pour des questions de confidentialité et de sécurité.

Bien que ces applications aient été supprimées des magasins d’applications d’Apple et de Google, plusieurs alternatives locales, telles que Roposo, Chingari et Mitron du groupe InMobi, ont intensifié leurs efforts pour tirer profit du vide laissé par TikTok.

Tout compte d’utilisateur Chingari peut être piraté en quelques secondes

L’application Chingari pour iOS et Android demande aux utilisateurs de créer un compte en accordant un accès de profil de base à leurs comptes Google, qui fait partie intégrante de l’authentification basée sur OAuth.

Cependant, selon Girish Kumar, chercheur en cybersécurité au sein de la société Encode Middle East à Dubaï, Chingari utilise un identifiant utilisateur généré aléatoirement pour récupérer les informations de profil respectives et d’autres données de son serveur sans s’appuyer sur un jeton secret pour l’authentification et l’autorisation des utilisateurs.

Comme démontré dans la vidéo que Kumar a partagée avec The Hacker News, non seulement cet ID utilisateur peut être facilement récupéré, mais il peut être utilisé par un attaquant pour remplacer l’ID utilisateur d’une victime dans les requêtes HTTP pour accéder aux informations du compte.

« L’attaque ne nécessite aucune interaction de la part des utilisateurs ciblés et peut être effectuée sur n’importe quel profil pour modifier les paramètres de leur compte ou télécharger le contenu de la volonté de l’attaquant », a déclaré Kumar à The Hacker News dans une interview par e-mail.

Comme The Hacker News l’a révélé en mai, Mitron souffrait exactement de la même faille, permettant à toute personne ayant accès à l’ID utilisateur unique de se connecter au compte sans entrer de mot de passe.

« Une fois que le compte d’une victime est compromis en utilisant la méthode montrée dans la vidéo, un attaquant peut changer le nom d’utilisateur, le nom, le statut, la date de naissance, le pays, la photo de profil, télécharger / supprimer des vidéos d’utilisateurs, etc. en un court accès à l’ensemble du compte », a déclaré Kumar.

Ce n’est pas tout. Une fonctionnalité distincte de Chingari qui permet aux utilisateurs de désactiver le partage vidéo et les commentaires peuvent être simplement contournés en ajustant le code de réponse HTTP ({« share »: false, « comment »: false}), permettant ainsi à une partie malveillante de partager et commenter des vidéos restreintes.

Mise à jour du patch Chingari à paraître aujourd’hui

Kumar a divulgué de manière responsable le problème aux fabricants de Chingari plus tôt cette semaine, et la société en réponse a reconnu la vulnérabilité.

The Hacker News a également contacté Sumit Ghosh, fondateur de Chingari, qui a confirmé à la publication que le problème serait corrigé avec Chingari version 2.4.1 pour Android et 2.2.6 pour iOS, qui devrait être déployé à des millions de ses utilisateurs via Google Play Store et Apple App Store à partir d’aujourd’hui.

En outre, pour protéger les utilisateurs qui ne mettent pas à jour leur application à temps, la société a décidé de désactiver l’accès aux API back-end des anciennes versions de l’application.

Si vous êtes un utilisateur Chingari, il est fortement recommandé de mettre à jour l’application dès que la dernière version est disponible pour éviter toute utilisation abusive potentielle.

Dans un autre incident, un chercheur français Plus tôt ce mois-ci, nous avons remarqué que le site Web de Globussoft, la société derrière Chingari, avait également été compromis pour héberger des scripts malveillants, redirigeant ses utilisateurs vers des pages malveillantes.

Un tel état de sécurité malheureux met en évidence que l’adoption d’applications autochtones pour le nationalisme est une chose, mais les applications, en particulier pour les utilisateurs non avertis en technologie, doivent être testées rigoureusement tout en gardant à l’esprit la confidentialité et la sécurité.

Pas une violation de données!

MISE À JOUR – Après le rapport de The Hacker News, certaines publications médiatiques ont couvert le même incident qu’une «  violation de données  », ce qui est catégoriquement incorrect.

En effet, la vulnérabilité révélée ne permet pas aux attaquants de voler les informations personnelles d’une victime stockées sur les serveurs de l’entreprise; au lieu de cela, il aurait pu être exploité pour falsifier ou violer un compte ciblé.

De plus, étant donné que Chingari ne demande pas à ses utilisateurs de saisir des informations personnelles ou un mot de passe, et utilise «  se connecter avec Google  » sans même stocker leurs adresses e-mail, tout ce qu’un attaquant pourrait faire est de détourner ou d’utiliser abusivement le compte de quelqu’un pour diffuser des informations erronées ou inappropriées. contenu.

Un porte-parole de la société a déclaré à The Hacker News que l’équipe de Chingari avait corrigé la vulnérabilité dans les 24 heures après que les chercheurs l’avaient signalée à la société, et n’avait trouvé aucune preuve d’une utilisation abusive ou d’un compromis de données.

Voir aussi :

octobre 6, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)