• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad en app similar a TikTok permite robo de cuentas.

Vulnerabilidad en app similar a TikTok permite robo de cuentas.

13 julio, 2020 Por Pablo López Bonilla Deja un comentario

Tras la divulgación de la vulnerabilidad en la aplicación Mitron, otro clon viral de TikTok en la India, ahora le toca el turno a Chingari.

Se ha encontrado en esta aplicación una nueva vulnerabilidad de omisión de autenticación, crítica, pero muy fácil de explotar, que permite a cualquier atacante secuestrar una cuenta de usuario y alterar su información, contenido e incluso subir videos no autorizados.

La aplicación india para compartir videos está disponible para móviles Android e iOS a través de tiendas de aplicaciones oficiales. Se trata de una app diseñada para permitir a los usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con otros usuarios a través de una función de mensaje directo.

Originalmente lanzado en noviembre de 2018, Chingari ha sido protagonista de un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes y convirtiéndose, de facto, en la alternativa a TikTok en este país.

Cualquier cuenta de usuario de Chingari puede ser secuestrada en segundos.

La aplicación Chingari para iOS y Android solicita a los usuarios que registren una cuenta otorgando acceso básico a sus cuentas de Google, que es una parte estándar de la autenticación basada en OAuth.

Sin embargo, según Girish Kumar, investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada de forma aleatoria para obtener la información de perfil respectiva y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.

Como se demostró en el video que Kumar compartió en su canal de youtube, esta identificación de usuario no solo se puede recuperar con facilidad, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de la víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta, mediante la interceptación vía proxy (en este caso Burpsuite) de las comunicaciones.

El ataque no requiere ninguna interacción de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar contenido de la elección del atacante.

La app Mitron sufrió exactamente el mismo defecto, a saber: cualquier persona con acceso a la identificación de usuario única inicie sesión en la cuenta sin ingresar ninguna contraseña. «Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc. En definitiva, obtiene acceso la totalidad de la cuenta», dijo Kumar.

Eso no es todo. Una característica separada en Chingari que permite a los usuarios desactivar el intercambio de videos y los comentarios se puede omitir modificando el código de respuesta HTTP ({«share»: false, «comment»: false}), lo que hace posible que una parte maliciosa pueda compartir y comentar videos restringidos.

La actualización del parche Chingari se lanzó el día 11 de julio. el investigador se acogió al código de buenas prácticas y reveló de forma responsable el fallo a la compañía para que procediesen a su subsanación. En respuesta, la organización, reconoció la vulnerabilidad.

Según Sumit Ghosh, fundador de Chingari y tomando como fuente el portal The Hacker News, el problema será parcheado con Chingari versión 2.4.1 para Android y 2.2.6 para iOS, que se espera que se extienda a millones de sus usuarios a través de Google Play Store y Apple App Store.

Además de esto, para proteger a los usuarios que no actualizan su aplicación a tiempo, la compañía ha decidido deshabilitar proactivamente el acceso a las API de back-end de las versiones anteriores de la aplicación.

Acerca de Pablo López Bonilla

Ha escrito 53 publicaciones.

  • View all posts by Pablo López Bonilla →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades Etiquetado como: account hijack, chingari, mitron, tiktok

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Técnica permite modificar ficheros PDF con firma digital
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...