• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Vulnerabilidad en app similar a TikTok permite robo de cuentas.

Vulnerabilidad en app similar a TikTok permite robo de cuentas.

13 julio, 2020 Por Pablo López Bonilla Deja un comentario

Tras la divulgación de la vulnerabilidad en la aplicación Mitron, otro clon viral de TikTok en la India, ahora le toca el turno a Chingari.

Se ha encontrado en esta aplicación una nueva vulnerabilidad de omisión de autenticación, crítica, pero muy fácil de explotar, que permite a cualquier atacante secuestrar una cuenta de usuario y alterar su información, contenido e incluso subir videos no autorizados.

La aplicación india para compartir videos está disponible para móviles Android e iOS a través de tiendas de aplicaciones oficiales. Se trata de una app diseñada para permitir a los usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con otros usuarios a través de una función de mensaje directo.

Originalmente lanzado en noviembre de 2018, Chingari ha sido protagonista de un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes y convirtiéndose, de facto, en la alternativa a TikTok en este país.

Cualquier cuenta de usuario de Chingari puede ser secuestrada en segundos.

La aplicación Chingari para iOS y Android solicita a los usuarios que registren una cuenta otorgando acceso básico a sus cuentas de Google, que es una parte estándar de la autenticación basada en OAuth.

Sin embargo, según Girish Kumar, investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada de forma aleatoria para obtener la información de perfil respectiva y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.

Como se demostró en el video que Kumar compartió en su canal de youtube, esta identificación de usuario no solo se puede recuperar con facilidad, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de la víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta, mediante la interceptación vía proxy (en este caso Burpsuite) de las comunicaciones.

El ataque no requiere ninguna interacción de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar contenido de la elección del atacante.

La app Mitron sufrió exactamente el mismo defecto, a saber: cualquier persona con acceso a la identificación de usuario única inicie sesión en la cuenta sin ingresar ninguna contraseña. «Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc. En definitiva, obtiene acceso la totalidad de la cuenta», dijo Kumar.

Eso no es todo. Una característica separada en Chingari que permite a los usuarios desactivar el intercambio de videos y los comentarios se puede omitir modificando el código de respuesta HTTP ({«share»: false, «comment»: false}), lo que hace posible que una parte maliciosa pueda compartir y comentar videos restringidos.

La actualización del parche Chingari se lanzó el día 11 de julio. el investigador se acogió al código de buenas prácticas y reveló de forma responsable el fallo a la compañía para que procediesen a su subsanación. En respuesta, la organización, reconoció la vulnerabilidad.

Según Sumit Ghosh, fundador de Chingari y tomando como fuente el portal The Hacker News, el problema será parcheado con Chingari versión 2.4.1 para Android y 2.2.6 para iOS, que se espera que se extienda a millones de sus usuarios a través de Google Play Store y Apple App Store.

Además de esto, para proteger a los usuarios que no actualizan su aplicación a tiempo, la compañía ha decidido deshabilitar proactivamente el acceso a las API de back-end de las versiones anteriores de la aplicación.

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking con buscadores

Técnicas de Análisis Forense

Sinfonier

Publicado en: Vulnerabilidades Etiquetado como: account hijack, chingari, mitron, tiktok

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • La estafa del “Servicio de Verificación DHL”

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • DFSCoerce : NTLM Relay en MS-DFSNM
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...