Vulnerabilidad en app similar a TikTok permite robo de cuentas
Tras la divulgación de la vulnerabilidad en la aplicación
Mitron, otro clon viral de TikTok en la India, ahora le toca el turno a Chingari. Se
ha encontrado en esta aplicación una nueva vulnerabilidad de omisión de
autenticación, crítica, pero muy fácil de explotar, que permite a cualquier
atacante secuestrar una cuenta de usuario y alterar su información, contenido e
incluso subir videos no autorizados.
La aplicación india para
compartir videos está disponible para móviles Android e iOS a través de tiendas
de aplicaciones oficiales. Se trata de una app diseñada para permitir a los
usuarios grabar videos cortos, ponerse al día con las noticias y conectarse con
otros usuarios a través de una función de mensaje directo.
Originalmente lanzado en noviembre de 2018, Chingari ha sido protagonista de un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes y convirtiéndose, de facto, en la alternativa a TikTok en este país.
Sin embargo, según Girish Kumar, investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada de forma aleatoria para obtener la información de perfil respectiva y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.
Como se demostró en el video que Kumar compartió en su canal de Youtube, esta identificación de usuario no solo se puede recuperar con facilidad, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de la víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta, mediante la interceptación vía proxy (en este caso Burpsuite) de las comunicaciones.
El ataque no requiere ninguna interacción de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar contenido de la elección del atacante.
La app Mitron sufrió exactamente el mismo defecto, a saber: cualquier persona con acceso a la identificación de usuario única inicie sesión en la cuenta sin ingresar ninguna contraseña. «Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc. En definitiva, obtiene acceso la totalidad de la cuenta», dijo Kumar.
Eso no es todo. Una característica separada en Chingari que permite a los usuarios desactivar el intercambio de videos y los comentarios se puede omitir modificando el código de respuesta HTTP ({«share»: false, «comment»: false}), lo que hace posible que una parte maliciosa pueda compartir y comentar videos restringidos.
La actualización del parche Chingari se lanzó el día 11 de julio. el investigador se acogió al código de buenas prácticas y reveló de forma responsable el fallo a la compañía para que procediesen a su subsanación. En respuesta, la organización, reconoció la vulnerabilidad.
Según Sumit Ghosh, fundador de Chingari y tomando como fuente el portal The Hacker News, el problema será parcheado con Chingari versión 2.4.1 para Android y 2.2.6 para iOS, que se espera que se extienda a millones de sus usuarios a través de Google Play Store y Apple App Store.
Originalmente lanzado en noviembre de 2018, Chingari ha sido protagonista de un gran aumento de popularidad en los últimos días a raíz de la prohibición de la India de aplicaciones de propiedad china a fines del mes pasado, cruzando 10 millones de descargas en Google Play Store en menos de un mes y convirtiéndose, de facto, en la alternativa a TikTok en este país.
Cualquier cuenta de usuario de Chingari puede ser secuestrada en segundos.
La aplicación Chingari para iOS y Android solicita a los usuarios que registren una cuenta otorgando acceso básico a sus cuentas de Google, que es una parte estándar de la autenticación basada en OAuth.Sin embargo, según Girish Kumar, investigador de seguridad cibernética de la firma Encode Middle East en Dubai, Chingari utiliza una identificación de usuario generada de forma aleatoria para obtener la información de perfil respectiva y otros datos de su servidor sin depender de ningún token secreto para la autenticación y autorización del usuario.
Como se demostró en el video que Kumar compartió en su canal de Youtube, esta identificación de usuario no solo se puede recuperar con facilidad, sino que también puede ser utilizada por un atacante para reemplazar la identificación de usuario de la víctima en las solicitudes HTTP para obtener acceso a la información de la cuenta, mediante la interceptación vía proxy (en este caso Burpsuite) de las comunicaciones.
El ataque no requiere ninguna interacción de los usuarios objetivo y se puede realizar contra cualquier perfil para cambiar la configuración de su cuenta o cargar contenido de la elección del atacante.
La app Mitron sufrió exactamente el mismo defecto, a saber: cualquier persona con acceso a la identificación de usuario única inicie sesión en la cuenta sin ingresar ninguna contraseña. «Una vez que la cuenta de una víctima se ve comprometida utilizando el método que se muestra en el video, un atacante puede cambiar el nombre de usuario, el nombre, el estado, la fecha de nacimiento, el país, la foto de perfil, cargar / eliminar videos de usuarios, etc. En definitiva, obtiene acceso la totalidad de la cuenta», dijo Kumar.
Eso no es todo. Una característica separada en Chingari que permite a los usuarios desactivar el intercambio de videos y los comentarios se puede omitir modificando el código de respuesta HTTP ({«share»: false, «comment»: false}), lo que hace posible que una parte maliciosa pueda compartir y comentar videos restringidos.
La actualización del parche Chingari se lanzó el día 11 de julio. el investigador se acogió al código de buenas prácticas y reveló de forma responsable el fallo a la compañía para que procediesen a su subsanación. En respuesta, la organización, reconoció la vulnerabilidad.
Según Sumit Ghosh, fundador de Chingari y tomando como fuente el portal The Hacker News, el problema será parcheado con Chingari versión 2.4.1 para Android y 2.2.6 para iOS, que se espera que se extienda a millones de sus usuarios a través de Google Play Store y Apple App Store.
Además de esto, para proteger a los
usuarios que no actualizan su aplicación a tiempo, la compañía ha decidido
deshabilitar proactivamente el acceso a las API de back-end de las versiones
anteriores de la aplicación.
Fuente: Hispasec
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!