Chingari 是印度版的抖音，一款短视频分享的 app。Chingari 最早是 2018 年 11 月上线的，由于上个月印度禁止了抖音等多款中国 app，Chingari 的用户量剧增，目前其在 Google Play 中月下载量已经达到了 1000 万。

继印度版抖音 Mitron APP 中发现安全漏洞后，研究人员又在另一款类抖音的 Chingari APP 中发现了应该非常容易就可以被利用的认证绕过漏洞，攻击者利用该漏洞可以劫持任意用户账户，并修改账号内的信息、内容，甚至可以上传未授权的视频。

Chingari 用户账户劫持漏洞

Chingari iOS 和安卓版都要求用户授权对 Google 账户的基本信息访问权限才可以注册账户，这是基于 OAuth 的认证的标准。安全研究人员 Girish Kumar 称，Chingari 使用随机生成的用户 ID 在无需用户认证和授权的情况下来提取对应的简介信息和其他数据。

POC 视频地址：https://www.youtube.com/embed/GuGCfGSNmMQ

从 PoC 中可以看出，不仅可以很容易地提取用户 ID，攻击者还可以在 HTTP 请求中替换受害者的用户 ID 来访问受害者账户信息。整个攻击过程无需与目标用户进行交互，可以对任何简介信息发起攻击来修改账户设置或上传攻击者选择的内容。一旦受害者的账户被黑，攻击者就可以访问整个账户，修改用户名、名字、状态、DOB、国家地区、简介照片、上传或删除用户视频等。

不仅如此，Chingari APP 中还有一个特征可以让用户关闭视频分享和凭证，攻击者只需修改 HTTP 状态码 ( {share:false,comment:false} ) 就可以让恶意攻击者对受限制的视频进行分享和评论。

补丁发布

Kumar 上周将该漏洞提交给了 Chingari 的运营方，该公司也承认了漏洞的存在。并称将在 Chingari v2.4.1（安卓版）和 v2.2.6（iOS）版本进行修复。对没有更新 app 的用户，公司决定禁止访问老版本 app 的后端 API。

研究人员建议用户更新到最新版本。

数据泄露？NO

由于有媒体将该漏洞报道为数据泄露，此处澄清并不是数据泄露事件。因为攻击者利用该漏洞无法窃取位于公司服务器上的受害者的个人信息。