黑客教你3分钟盗抖音(抖音盗号教程)在Mitron应用程序中披露漏洞之后,现在发现印度的另一个病毒性TikTok克隆版容易利用的身份验证绕过漏洞的攻击,从而允许任何人劫持任何用户账户并篡改其信息、内容、甚至上传未经授权的视频。
印度的视频共享应用程序Chingari可通过官方应用程序商店在Android和iOS智能手机上使用,其目的是使用户能够录制简短视频、关注新闻并通过直接消息功能与其他用户联系。
黑客教你3分钟盗抖音(抖音盗号教程)Chingari最初于2018年11月推出,由于印度上个月末禁止中国TikTok,下载量超过1000万,在过去几天中,其知名度激增不到一个月就可以在Google Play商店中找到了,从这个描述你可以知道,这个克隆版抖音原来在Google Play商店都找不到的,也更能明白为何印度会大量卸载中国应用程序了,这或许就是一波神操作。利用民粹声音,达到推广自己产品的目的,其实世界各处都是一样的,特别是西方国家做的更是光怪陆离。
印度阅批最近因隐私和安全问题而禁止来自中国的59种应用和服务,包括ByteDance的TikTok、阿里巴巴集团的UC浏览器和UC News、以及腾讯的微信。
印度本土替代产品,例如InMobi Group的Roposo、Chingari和Mitron,已经加大了努力,以利用TikTok留下的空白大把大把的学习。
适用于iOS和Android的Chingari应用要求用户通过授予其Google帐户基本配置文件访问权限来注册账户,这是基于OAuth的身份验证的标准部分。
但是,根据迪拜Encode中东公司的网络安全研究员Girish Kumar的说法,Chingari使用随机生成的用户ID来从其服务器中获取相应的配置文件信息和其他数据,不依赖任何秘密令牌来进行用户身份验证和授权。攻击者还可以替换HTTP请求中的受害者用户ID,以访问账户信息。攻击不需要目标用户的任何干预,可以针对任何个人资料进行攻击,以更改其账户设置或上传攻击者选择的内容。这里,我们看到印度也同样发生一些努力,而自身产品出生就存在缺陷的情况。作为软件外包大国的印度,其外包能力是否如传说中的那么牛呢?现在我个人是持一定怀疑态度了。
Mitron遭受完全相同的漏洞,该漏洞使有权访问唯一用户ID的任何人无需输入任何密码即可登录该账户。一旦受害者的账户遭到破坏,攻击者就可以在短时间内访问整个帐户来更改用户名、名称、状态、DOB、国家/地区、个人资料图片、上传/删除用户视频等。通过调整HTTP响应代码({“ share”:false,“ comment”:false}),可以简单地绕过Chingari中允许用户关闭视频共享和评论的一项单独功能,从而使恶意方有可能分享并评论受限制的视频。
Kumar于本周早些时候向Chingari的制造商负责任地披露了该问题,该公司对此表示认可。该问题将通过Android的Chingari 2.4.1版本和针对iOS的2.2.6版本进行修补,较早版本的应用程序访问后端API。
印度神话很多,吹嘘得也很多。但是世界是在不断变化的,当外部经济和资本在当地快速发展时,当地的一些"精明“人士,自然懂得愚弄运用所谓的“民意”,最终形成自己的快速发展。无风不起浪,空穴来风事必有因啊。印度,为了转移国内抗疫压力,与中国发生摩擦,进而引导民粹思想泛滥,从而削弱中国企业在印度的优势。这或许多年后,有部分印度人会烦死新冠疫情下,印度是一个什么国度吧。至少,到现在他们还没有来得及反思吧。就算是印度在华留学生也未必去反思过,从在华留学生攻击四川某大学就可见一斑了。
法国研究人员本月早些时候发现,Chingari母公司Globussoft的网站也遭到入侵,将其用户重定向到恶意页面。安全专家们提醒说,这种不幸的安全状态表明,为了民族主义而拥抱本地应用程序是一回事,但是必须对应用程序进行严格安全测试(尤其是针对非技术用户),同时还要牢记隐私和安全性。