pirater n'importe quel compte d'application chingari

À la suite de la divulgation d’une vulnérabilité dans l’application Mitron, un autre clone viral de TikTok en Inde s’est révélé vulnérable à une vulnérabilité de contournement d’authentification critique mais facile à exploiter, permettant à quiconque de détourner n’importe quel compte d’utilisateur et de falsifier ses informations, son contenu et même de télécharger vidéos non autorisées.

L’application de partage de vidéos indienne, appelée Chingari, est disponible pour les smartphones Android et iOS via les boutiques d’applications officielles, conçue pour permettre aux utilisateurs d’enregistrer des vidéos courtes, de suivre l’actualité et de se connecter avec d’autres utilisateurs via une fonction de message direct.

Lancé à l’origine en novembre 2018, Chingari a connu une énorme montée en popularité au cours des derniers jours à la suite de l’interdiction par l’Inde des applications appartenant à la Chine à la fin du mois dernier, traversant 10 millions de téléchargements sur le Google Play Store dans moins d’un mois.

Le gouvernement indien a récemment interdit 59 applications et services, y compris TikTok de ByteDance, UC Browser et UC News d’Alibaba Group et WeChat de Tencent pour des questions de confidentialité et de sécurité.

Bien que ces applications aient été retirées de la liste des magasins d’applications d’Apple et de Google, plusieurs alternatives locales, telles que Roposo, Chingari et Mitron du groupe InMobi, ont intensifié leurs efforts pour encaisser le vide laissé par TikTok.

Tout compte d’utilisateur Chingari peut être piraté en quelques secondes

L’application Chingari pour iOS et Android demande aux utilisateurs d’enregistrer un compte en accordant l’accès de profil de base à leurs comptes Google, ce qui est une partie standard de l’authentification basée sur OAuth.

Cependant, selon Girish Kumar, chercheur en cybersécurité au sein de la firme Encode Middle East à Dubaï, Chingari utilise un ID utilisateur généré aléatoirement pour récupérer les informations de profil respectives et d’autres données de son serveur sans s’appuyer sur un jeton secret pour l’authentification et l’autorisation des utilisateurs.

Comme démontré dans la vidéo que Kumar a partagée avec The Hacker News, non seulement cet ID utilisateur peut être facilement récupéré, il peut être utilisé par un attaquant pour remplacer l’ID utilisateur d’une victime dans les requêtes HTTP pour accéder aux informations du compte.

“L’attaque ne nécessite aucune interaction de la part des utilisateurs ciblés et peut être effectuée contre n’importe quel profil pour modifier les paramètres de leur compte ou télécharger le contenu du choix de l’attaquant”, a déclaré Kumar à The Hacker News dans une interview par e-mail.

Comme The Hacker News l’a révélé en mai, Mitron souffrait exactement du même défaut, permettant à toute personne ayant accès à l’ID utilisateur unique de se connecter au compte sans entrer de mot de passe.

“Une fois que le compte d’une victime est compromis en utilisant la méthode montrée dans la vidéo, un attaquant peut changer le nom d’utilisateur, le nom, le statut, la date de naissance, le pays, la photo de profil, télécharger / supprimer des vidéos d’utilisateur, etc. en un accès rapide à l’ensemble du compte”, a déclaré Kumar.

Ce n’est pas tout. Une fonctionnalité distincte de Chingari qui permet aux utilisateurs de désactiver le partage vidéo et les commentaires peut être simplement contournée en modifiant le code de réponse HTTP ({“share”: false, “comment”: false}), permettant ainsi à une partie malveillante de partager et commenter des vidéos restreintes.

La mise à jour du patch Chingari sera publiée aujourd’hui

Kumar a divulgué le problème de manière responsable aux fabricants de Chingari plus tôt cette semaine, et la société en réponse a reconnu la vulnérabilité.

The Hacker News a également contacté Sumit Ghosh, fondateur de Chingari, qui a confirmé à la publication que le problème serait corrigé avec Chingari version 2.4.1 pour Android et 2.2.6 pour iOS, qui devrait être étendu à des millions de ses utilisateurs via Google Play Store et Apple App Store à partir d’aujourd’hui.

En outre, pour protéger les utilisateurs qui ne mettent pas à jour leur application à temps, la société a décidé de désactiver l’accès aux API principales des anciennes versions de l’application.

Si vous êtes un utilisateur Chingari, il est fortement recommandé de mettre à jour l’application dès que la dernière version est disponible pour éviter une utilisation abusive potentielle.

Dans un incident distinct, un chercheur français Plus tôt ce mois-ci, le site Web de Globussoft, la société derrière Chingari, avait également été compromis pour héberger des scripts de logiciels malveillants, redirigeant ses utilisateurs vers des pages malveillantes.

Un tel état de sécurité malheureux souligne qu’adopter des applications indigènes au nom du nationalisme est une chose, mais les applications, en particulier pour les utilisateurs non avertis en technologie, doivent être testées rigoureusement tout en gardant à l’esprit la confidentialité et la sécurité.



Leave a Reply