Herhangi Bir Chingari Uygulaması (Hint Tik Tok Klonu) Hesabı Kolayca Hack Edilebilir

Bir klon olan Chingari, artık herkesin herhangi bir kullanıcı hesabını ele geçirmesine ve bilgilerini, içeriğini kurcalamasına veya hatta yetkisiz videoları yüklemesine bile izin veren kritik ancak kullanımı bir o kadar kolay bir kimlik doğrulama olan baypas güvenlik açığına karşı savunmasız durumdadır.

Chingari adlı Hint video paylaşım uygulaması, kullanıcıların kısa video kaydetmelerini, haberleri takip etmelerini ve doğrudan mesaj özelliği ile diğer kullanıcılarla bağlantı kurmalarını sağlamak için tasarlanmış, resmi uygulama mağazaları aracılığıyla Android ya da iOS işletim sistemi bulunan akıllı telefonlar için kullanılabilir.

Kasım 2018’de piyasaya çıkan Chingari, Hindistan’ın geçen ayın sonlarında Çin’e ait uygulamalar üzerindeki yasağının ardından son birkaç gün içinde popülaritesinde büyük bir artışa tanık oldu ve bir aydan kısa bir sürede Google Play Store’ da 10 milyon indirmeyi geçti.

Hindistan hükumeti kısa bir süre önce Byte Dance’ ın Tiktok’ u, Alibaba Group’un UC tarayıcısı ve UC haberleri, Tencent’ in gizlilik ve güvenlik kaygıları üzerine Wechat’ i dahil olmak üzere 59 uygulama ve hizmeti yasakladı.

Bu uygulamalar Apple ve Google’ ın uygulama mağazalarından kaldırılmış olsa da, In Mobi Group’un Roposo, Chingari ve Mitron gibi birkaç ev yapımı alternatif uygulaması, Tiktok’un bıraktığı boşluğa talip oldu.

“Herhangi bir Chingari kullanıcısının hesabı saniyeler içinde ele geçirilebilir.”

iOS ve Android için Chingari uygulaması, kullanıcıların OAuth tabanlı kimlik doğrulamanın standart bir parçası olan Google hesaplarına temel profil erişimi vererek bir hesap kaydetmelerini ister.

Bununla birlikte, Dubai’ deki Encode Middle East firmasında bir siber güvenlik araştırmacısı olan Girish Kumar’ a göre Chingari, kullanıcı kimlik doğrulaması ve yetkilendirmesi için herhangi bir gizli belirtece güvenmeden, ilgili profil bilgilerini ve diğer verileri sunucusundan almak için rastgele oluşturulmuş bir kullanıcı kimliği kullanıyor.

​​”Saldırı hedeflenen kullanıcılarla herhangi bir etkileşim gerektirmez. Hesap ayarlarını değiştirmek veya saldırganın tercih ettiği içeriği yüklemek için herhangi bir profile karşı saldırı gerçekleştirilebilir.”

Chingari Yama Güncellemesi Bugün Piyasaya Sürülecek

Girish Kumar, konuyu bu hafta başlarında Chingari’ nin yapımcılarına sorumlu bir şekilde açıkladı ve şirket yanıt olarak bu güvenlik açığını kabul etti.

 

En son haberler

İlgili haberler