Phát hiện lỗ hổng bảo mật trên bản sao TikTok của Ấn Độ

Tiếp nối những vấn đề bảo mật của các ứng dụng mạng giải trí, một bản sao TikTok khác của Ấn Độ cũng mới bị phát hiện tồn tại một lỗ hổng nghiêm trọng, cho phép kẻ tấn công dễ dàng khai thác và chiếm đoạt tài khoản người dùng, giả mạo thông tin, nội dung của họ và thậm chí là tải lên các video trái phép.



Ứng dụng chia sẻ video này của Ấn Độ có tên là Chingari, hiện đang có mặt trên các cửa hàng ứng dụng chính thức và hỗ trợ cả điện thoại Android lẫn iOS. Nó được thiết kế cho phép người dùng quay những video ngắn, cập nhật tin tức và kết nối với người dùng khác thông qua tính năng nhắn tin trực tiếp.



Được ra mắt lần đầu vào tháng 11 năm 2018, Chingari đã chứng kiến ​​lượng truy cập tăng đột biến trong vài ngày qua sau lệnh cấm của Ấn Độ đối với các ứng dụng thuộc sở hữu của Trung Quốc vào cuối tháng trước. Ứng dụng này đã vượt qua 10 triệu lượt tải xuống trên Google Play Store chỉ trong vòng chưa đầy một tháng.



Chính phủ Ấn Độ gần đây đã ban lệnh cấm 59 ứng dụng và dịch vụ , bao gồm TikTok của ByteDance, UC Browser và UC News của Tập đoàn Alibaba và WeChat của Tencent do các mối lo ngại liên quan đến vấn đề bảo mật và quyền riêng tư.



Việc các ứng dụng này bị xóa khỏi các cửa hàng ứng dụng của Apple và Google đã khiến một số đối thủ nội địa khác nhanh chóng được hưởng lợi như Roposo của InMobi Group, Chingari và Mitron. Những công ty này đã ngay lập tức tăng cường nỗ lực để kiếm tiền từ khoảng trống mà TikTok để lại.



Bất kỳ tài khoản Chingari nào cũng có thể bị tấn công chỉ trong vòng vài giây



Ứng dụng Chingari cho iOS và Android yêu cầu người dùng đăng ký tài khoản bằng cách cấp quyền truy cập hồ sơ cơ bản cho tài khoản Google của họ. Đây là một phần của khâu xác thực tiêu chuẩn dựa trên OAuth.



Tuy nhiên, theo Girish Kumar , một nhà nghiên cứu an ninh mạng của Encode Middle East ở Dubai, thì Chingari sử dụng một user ID được tạo ngẫu nhiên để truy xuất thông tin hồ sơ tương ứng và các dữ liệu khác từ máy chủ mà không dựa vào bất kỳ token bí mật nào để xác thực và ủy quyền người dùng.





Như trong video minh họa mà Kumar chia sẻ với The Hacker News, user ID này không chỉ dễ dàng truy xuất mà nó còn có thể bị kẻ tấn công lợi dụng để thay thế user ID của nạn nhân trong các HTTP request nhằm chiếm quyền truy cập vào thông tin tài khoản.



“Cuộc tấn công này không yêu cầu bất kỳ sự tương tác nào từ phía nạn nhân và có thể dùng để tấn công bất kỳ tài khoản nào nhằm thay đổi account setting hoặc tải lên nội dung tùy ý của kẻ tấn công,” Kumar chia sẻ với The Hacker News trong một cuộc phỏng vấn qua email.



Như những phát hiện của The Hacker News vào tháng 5 vừa qua, Mitron cũng gặp phải lỗi bảo mật tương tự. Nó cho phép bất kỳ ai biết user ID của người dùng cũng đều có thể đăng nhập vào tài khoản mà không cần nhập bất cứ mật khẩu nào.



“Một khi tài khoản của nạn nhân bị xâm phạm bằng cách sử dụng phương thức mô tả trong video, kẻ tấn công có thể thay đổi tên người dùng, trạng thái, ngày sinh, quốc tịch, ảnh đại diện, tải lên hoặc xóa video của họ, v.v. để truy cập ngắn vào toàn bộ tài khoản,” Kumar nói.



Nhưng đó vẫn chưa phải là tất cả. Một tính năng riêng biệt trong Chingari cho phép người dùng tắt chia sẻ video và nhận xét còn có thể bị kẻ tấn công dễ dàng vượt qua bằng cách điều chỉnh HTTP response code ({“share”:false,”comment”:false}). Và do đó, nó cho phép chúng chia sẻ và bình luận trên các video bị hạn chế.



Bản vá chính thức sẽ sớm được phát hành



Kumar đã thông báo vấn đề này với các nhà phát triển của Chingari vào đầu tuần này và công ty đã nhanh chóng thừa nhận lỗ hổng bảo mật này.



The Hacker News cũng đã liên hệ với Sumit Ghosh, nhà sáng lập của Chingari, người đã xác nhận rằng lỗ hổng sẽ được vá trong phiên bản Chingari 2.4.1 cho Android và 2.2.6 cho iOS. Theo dự kiến ​​nó sẽ được tung ra cho hàng triệu người người dùng thông qua Google Play Store và Apple App Store từ ngày 11/7.



Bên cạnh đó, để bảo vệ những người dùng chưa cập nhật ứng dụng, công ty đã quyết định vô hiệu hóa quyền truy cập vào API back-end từ các phiên bản cũ hơn của ứng dụng.



Công ty này khuyến nghị người dùng nên nhanh chóng cập nhật ứng dụng ngay khi có phiên bản mới nhất để tránh nguy cơ bị tấn công trong tương lai.



Được biết vào đầu tháng này, một nhà nghiên cứu người Pháp cũng đã phát hiện ra trang web của Globussoft, công ty đứng sau Chingari, bị xâm nhập để lưu trữ các malware script và chuyển hướng người dùng đến các trang web độc hại.



Thực trạng đáng buồn của an ninh mạng hiện nay đã cho thấy việc ưu tiên các sản phẩm nội địa là điều nên làm, tuy nhiên, đối với những ứng dụng công nghệ, đặc biệt những ứng dụng phục vụ người dùng thiếu am hiểu công nghệ, thì luôn cần phải được kiểm tra nghiêm ngặt đồng thời vẫn phải đặt tiêu chí bảo mật và riêng tư lên hàng đầu.



Không phải tấn công rò rỉ dữ liệu!



CẬP NHẬT – Sau khi bài báo của The Hacker News được công bố, một số ấn phẩm truyền thông đã đưa tin về vụ việc và nói nó là một cuộc tấn công ‘rò rỉ dữ liệu’, và điều này rõ ràng là không chính xác.



Bởi lẽ lỗ hổng này không cho phép kẻ tấn công đánh cắp thông tin cá nhân của nạn nhân được lưu trữ trên máy chủ của công ty; mà thực tế, nó có thể đã bị khai thác để thực hiện các hành vi giả mạo hay làm rò rỉ thông tin nhắm tới một người dùng cụ thể.



Hơn nữa, vì Chingari không yêu cầu người dùng khai báo bất kỳ thông tin cá nhân hay nhập bất cứ mật khẩu nào, họ thậm chí không lưu trữ địa chỉ email của người dùng và sử dụng hình thức đăng ký ‘sign in with Google’ nên tất cả những gì kẻ tấn công có thể làm là xóa hoặc sử dụng trái phép tài khoản của người dùng để truyền bá thông tin sai lệch hoặc những nội dung không phù hợp.



Một phát ngôn viên của công ty cũng chia sẻ với The Hacker News rằng ngay sau khi nhận được thông báo từ các nhà nghiên cứu, team kỹ thuật của Chingari đã ngay lập tức vá lỗi bảo mật này trong vòng 24 giờ và họ cũng không tìm thấy bất cứ bằng chứng nào liên quan tới việc rò rỉ dữ liệu hay lạm dụng thông tin người dùng.



Theo The Hacker News
The post Phát hiện lỗ hổng bảo mật trên bản sao TikTok của Ấn Độ appeared first on SecurityDaily .