印度TikTok替代产品Chingari应用程序被曝:可随意被hacker入侵

类别: 时间:2020-07-17 浏览:1103
近期,印度政府因信息安全禁止了与中国有关的50多种应用软件,其中就包括TikTok、微信、美团、UC浏览器等。与此同时,印度本土的替代产品软件相继冒出,其中就包括TikTok的替代产品Chingari,然后Chingari却被曝出:可被任意黑客轻松入侵,获取任意账号用户信息。

近期,印度政府因信息安全禁止了与中国有关的50多种应用软件,其中就包括TikTok、微信、美团、UC浏览器等。与此同时,印度本土的替代产品软件相继冒出,其中就包括TikTok的替代产品Chingari。

Chingari属于短视频软件,于2018年年底问世,一直以来都处于不温不火的状态,近期下载量却一路飙升到千万,在谷歌商店中即可搜索到,然后近期却被某网络研究人员曝出:任意Chingari用户在都可以几秒钟内被黑客劫持。

为什么会被任意黑客劫持呢?

Chingeri使用的是随机生成的用户ID,从其服务器中获取相应的配置文件信息和数据,无需以来任何秘密令牌验证和授权。攻击者可以轻松检索到目标用户ID,再通过替换HTTP请求中的受害者用户ID,达到访问账户信息的目的。

 

“漏洞”易于黑客利用身份验证绕过漏洞的攻击,从而允许任何人劫持任意用户的账户并篡改其信息,甚至上传未经授权的视频。

正像2020年五月《黑客新闻》披露的那样:Mitron遇到了几乎完全相同的漏洞,该漏洞的特点就是攻击者有权访问唯一用户ID的任何人无需输入任何密码即可登录该账户。

网络安全研究人员称:一旦受害者的账户遭到破坏,恶意攻击者可以在极短时间内访问整个账户达到更改用户名的名称、状态、个人资料、上传/删除用户视频等目的。

除此之外,攻击者还可以通过调整HTTP响应代码,简单逃过Chingari中允许用户关闭视频共享和评论的一项单独功能,从而使恶意放有可能任意分享并评论受限制的视频。

Chingari补丁将于近期发布

Chingari软件创始人近日称:将发布补丁程序,针对Android的Chingari2.4.1版本和针对IOS的2.2.6版本进行修补。

相关推荐