近期，印度政府因信息安全禁止了与中国有关的50多种应用软件，其中就包括TikTok、微信、美团、UC浏览器等。与此同时，印度本土的替代产品软件相继冒出，其中就包括TikTok的替代产品Chingari。

Chingari属于短视频软件，于2018年年底问世，一直以来都处于不温不火的状态，近期下载量却一路飙升到千万，在谷歌商店中即可搜索到，然后近期却被某网络研究人员曝出：任意Chingari用户在都可以几秒钟内被黑客劫持。

为什么会被任意黑客劫持呢？

Chingeri使用的是随机生成的用户ID，从其服务器中获取相应的配置文件信息和数据，无需以来任何秘密令牌验证和授权。攻击者可以轻松检索到目标用户ID，再通过替换HTTP请求中的受害者用户ID，达到访问账户信息的目的。

该“漏洞”易于黑客利用身份验证绕过漏洞的攻击，从而允许任何人劫持任意用户的账户并篡改其信息，甚至上传未经授权的视频。

正像2020年五月《黑客新闻》披露的那样：Mitron遇到了几乎完全相同的漏洞，该漏洞的特点就是攻击者有权访问唯一用户ID的任何人无需输入任何密码即可登录该账户。

网络安全研究人员称：一旦受害者的账户遭到破坏，恶意攻击者可以在极短时间内访问整个账户达到更改用户名的名称、状态、个人资料、上传/删除用户视频等目的。

除此之外，攻击者还可以通过调整HTTP响应代码，简单逃过Chingari中允许用户关闭视频共享和评论的一项单独功能，从而使恶意放有可能任意分享并评论受限制的视频。

Chingari补丁将于近期发布

Chingari软件创始人近日称：将发布补丁程序，针对Android的Chingari2.4.1版本和针对IOS的2.2.6版本进行修补。