• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Ataques / Cuentas indias de Digilocker podrían ser comprometidas sin saber la contraseña.

Cuentas indias de Digilocker podrían ser comprometidas sin saber la contraseña.

7 junio, 2020 Por Pablo López Bonilla Deja un comentario

El gobierno indio asegura que ha abordado una vulnerabilidad crítica en su servicio orientado a almacenaje de documentos, Digilocker, que podría haber permitido que un atacante remoto evitara las contraseñas de un solo uso (OTP) e inicie sesión como otros usuarios.

Descubierta por separado por dos investigadores independientes de bug bounty, Mohesh Mohan y Ashish Gahlot, la vulnerabilidad podría haberse aprovechado fácilmente para acceder sin autorización a documentos confidenciales cargados por usuarios específicos en la plataforma operada por el gobierno.

«La función de OTP carece de autorización, lo que hace posible realizar la validación de OTP enviando los detalles de los usuarios válidos y luego manipular el flujo de la comunicación para iniciar sesión como un usuario totalmente diferente», según Mohesh Mohan.

Con más de 38 millones de usuarios registrados, Digilocker es un repositorio basado en la nube que actúa como una plataforma digital para facilitar el procesamiento en línea de documentos y una entrega más rápida de varios servicios gubernamentales para el ciudadano. Está vinculado al número de teléfono móvil de un usuario y al ID de Aadhar, un número de identidad único (UID) emitido para todos los residentes de la India.

Según Mohan, todo lo que un atacante necesita saber es la identificación de Aadhaar de la víctima, el número de teléfono móvil vinculado o el nombre de usuario para acceder sin autorización a una cuenta de Digilocker específica, la cual solicita al servicio que envíe una OTP para, posteriormente, explotar la falla y evitar el proceso de inicio de sesión.

Petición afectada vulnerable

Vale la pena señalar que la versión de la aplicación móvil de Digilocker también viene con un PIN de 4 dígitos para una capa adicional de seguridad. Pero los investigadores dijeron que era posible modificar las llamadas a la API para autenticar el PIN al asociar el PIN a otro usuario (identificado con un UUID versión 5) e iniciar sesión con éxito como la víctima.

Esto significa que «puede hacer la verificación SMS OTP como un usuario y enviar el pin de un segundo usuario. Finalmente, terminará iniciando sesión como el segundo usuario», dice el investigador Mohesh Mohan.

Además, la falta de autorización para el endpoint de la API utilizado para establecer el PIN secreto implica que la API se puede explotar para restablecer el PIN vinculado a un usuario aleatorio que utiliza el UUID del individuo. «No hay información relacionada con la sesión en la solicitud POST, por lo que no está vinculada a ningún usuario», agregó.

Petición para asociar el código PIN a un usuario autenticado.

Además de los problemas mencionados anteriormente, las llamadas a la API desde aplicaciones móviles se aseguraron mediante un basic auth que se puede eludir eliminando un valor del encabezado «is_encrypted: 1.»

También se descubrió que la aplicación implementa un mecanismo de fijación SSL débil, vulnerable a ciertos tipos de bypass llevados a cabo con ayuda de herramientas como Frida.

Después de que Mohan informara sobre el fallo a CERT-In el 10 de mayo y Ashish a DigiLocker el 16 de mayo, la agencia comunicó que el problema se había solucionado el 28 de mayo.

«La naturaleza de la vulnerabilidad fue tal que la cuenta de DigiLocker de un individuo podría potencialmente verse comprometida si el atacante conocía el nombre de usuario de esa cuenta en particular», dijo Digilocker en un tweet reconociendo el fallo.

«Tras el análisis, se descubrió que esta vulnerabilidad se había infiltrado en el código cuando se agregaron recientemente algunas características nuevas. El equipo técnico solucionó la vulnerabilidad de manera prioritaria un día después de recibir la alerta de CERT-In. Ningún dato, base de datos, almacenamiento o cifrado se vio comprometido», agregó el equipo.

Más información:

https://medium.com/@Volatile_Life/how-i-got-access-to-38m-digilocker-accounts-a11d7aa770f7

Acerca de Pablo López Bonilla

Ha escrito 53 publicaciones.

  • View all posts by Pablo López Bonilla →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Ataques, General, Vulnerabilidades Etiquetado como: digilocker, india, vulnerabilidad, wallet

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...