Chingari是印度版的抖音,一款短視頻分享的app。Chingari最早是2018年11月上線的,由於上個月印度禁止了抖音等多款中國app,Chingari的用户量劇增,目前其在Google Play中月下載量已經達到了1000萬。
繼印度版抖音 Mitron APP中發現安全漏洞後,研究人員又在另一款類抖音的Chingari APP中發現了應該非常容易就可以被利用的認證繞過漏洞,攻擊者利用該漏洞可以劫持任意用户賬户,並修改賬號內的信息、內容,甚至可以上傳未授權的視頻。
Chingari用户賬户劫持漏洞
Chingari iOS和安卓版都要求用户授權對Google賬户的基本信息訪問權限才可以註冊賬户,這是基於OAuth的認證的標準。安全研究人員Girish Kumar稱,Chingari使用隨機生成的用户ID在無需用户認證和授權的情況下來提取對應的簡介信息和其他數據。
POC視頻地址:https://www.youtube.com/embed/GuGCfGSNmMQ
從PoC中可以看出,不僅可以很容易地提取用户ID,攻擊者還可以在HTTP請求中替換受害者的用户ID來訪問受害者賬户信息。整個攻擊過程無需與目標用户進行交互,可以對任何簡介信息發起攻擊來修改賬户設置或上傳攻擊者選擇的內容。一旦受害者的賬户被黑,攻擊者就可以訪問整個賬户,修改用户名、名字、狀態、DOB、國家地區、簡介照片、上傳或刪除用户視頻等。
不僅如此,Chingari APP中還有一個特徵可以讓用户關閉視頻分享和憑證,攻擊者只需修改HTTP狀態碼({"share":false,"comment":false}) 就可以讓惡意攻擊者對受限制的視頻進行分享和評論。
補丁發佈
Kumar上週將該漏洞提交給了Chingari的運營方,該公司也承認了漏洞的存在。並稱將在Chingari v2.4.1(安卓版)和v2.2.6(iOS)版本進行修復。對沒有更新app的用户,公司決定禁止訪問老版本app的後端API。
研究人員建議用户更新到最新版本。
數據泄露?NO
由於有媒體將該漏洞報道為數據泄露,此處澄清並不是數據泄露事件。因為攻擊者利用該漏洞無法竊取位於公司服務器上的受害者的個人信息。