印度抖音Chingari漏洞,可劫持用户账号
Chingari是印度版的抖音,一款短视频分享的app。Chingari最早是2018年11月上线的,由于上个月印度禁止了抖音等多款中国app,Chingari的用户量剧增,目前其在Google Play中月下载量已经达到了1000万。
继印度版抖音 Mitron APP中发现安全漏洞后,研究人员又在另一款类抖音的Chingari APP中发现了应该非常容易就可以被利用的认证绕过漏洞,攻击者利用该漏洞可以劫持任意用户账户,并修改账号内的信息、内容,甚至可以上传未授权的视频。
Chingari用户账户劫持漏洞
Chingari iOS和安卓版都要求用户授权对Google账户的基本信息访问权限才可以注册账户,这是基于OAuth的认证的标准。安全研究人员Girish Kumar称,Chingari使用随机生成的用户ID在无需用户认证和授权的情况下来提取对应的简介信息和其他数据。
POC视频地址:https://www.youtube.com/embed/GuGCfGSNmMQ
从PoC中可以看出,不仅可以很容易地提取用户ID,攻击者还可以在HTTP请求中替换受害者的用户ID来访问受害者账户信息。整个攻击过程无需与目标用户进行交互,可以对任何简介信息发起攻击来修改账户设置或上传攻击者选择的内容。一旦受害者的账户被黑,攻击者就可以访问整个账户,修改用户名、名字、状态、DOB、国家地区、简介照片、上传或删除用户视频等。
不仅如此,Chingari APP中还有一个特征可以让用户关闭视频分享和凭证,攻击者只需修改HTTP状态码({"share":false,"comment":false}) 就可以让恶意攻击者对受限制的视频进行分享和评论。
补丁发布
Kumar上周将该漏洞提交给了Chingari的运营方,该公司也承认了漏洞的存在。并称将在Chingari v2.4.1(安卓版)和v2.2.6(iOS)版本进行修复。对没有更新app的用户,公司决定禁止访问老版本app的后端API。
研究人员建议用户更新到最新版本。
数据泄露?NO
由于有媒体将该漏洞报道为数据泄露,此处澄清并不是数据泄露事件。因为攻击者利用该漏洞无法窃取位于公司服务器上的受害者的个人信息。
参考及来源:https://thehackernews.com/2020/07/hack-chingari-app-account.html
原标题:印度版抖音Chingari被曝认证绕过漏洞,可劫持任意用户账号责任编辑:周星如
专题
最新发布