在Mitron应用程序中披露漏洞之后，现在发现印度的另一个病毒性TikTok克隆版容易利用的身份验证绕过漏洞的攻击，从而允许任何人劫持任何用户账户并篡改其信息、内容、甚至上传未经授权的视频。

印度的视频共享应用程序Chingari可通过官方应用程序商店在Android和iOS智能手机上使用，其目的是使用户能够录制简短视频、关注新闻并通过直接消息功能与其他用户联系。

Chingari最初于2018年11月推出，由于印度上个月末禁止中国TikTok，下载量超过1000万，在过去几天中，其知名度激增不到一个月就可以在Google Play商店中找到了，从这个描述你可以知道，阿三哥的这个克隆版抖音原来在Google Play商店都找不到的，也更能明白为何印度会大量卸载中国应用程序了，这或许就是一波神操作。利用民粹声音，达到推广自己产品的目的，其实世界各处都是一样的，特别是西方国家做的更是光怪陆离。

印度政府最近因隐私和安全问题而禁止来自中国的59种应用和服务，包括ByteDance的TikTok、阿里巴巴集团的UC浏览器和UC News、以及腾讯的微信。

印度本土替代产品，例如InMobi Group的Roposo、Chingari和Mitron，已经加大了努力，以利用TikTok留下的空白大把大把的赚钱。

任何Chingari用户账户都可以在几秒钟内被劫持

适用于iOS和Android的Chingari应用要求用户通过授予其Google帐户基本配置文件访问权限来注册账户，这是基于OAuth的身份验证的标准部分。

但是，根据迪拜Encode中东公司的网络安全研究员Girish Kumar的说法，Chingari使用随机生成的用户ID来从其服务器中获取相应的配置文件信息和其他数据，不依赖任何秘密令牌来进行用户身份验证和授权。攻击者还可以替换HTTP请求中的受害者用户ID，以访问账户信息。攻击不需要目标用户的任何干预，可以针对任何个人资料进行攻击，以更改其账户设置或上传攻击者选择的内容。这里，我们看到印度也同样发生一些努力，而自身产品出生就存在缺陷的情况。作为软件外包大国的印度，其外包能力是否如传说中的那么牛呢？现在我个人是持一定怀疑态度了。

Mitron遭受完全相同的漏洞，该漏洞使有权访问唯一用户ID的任何人无需输入任何密码即可登录该账户。一旦受害者的账户遭到破坏，攻击者就可以在短时间内访问整个帐户来更改用户名、名称、状态、DOB、国家/地区、个人资料图片、上传/删除用户视频等。通过调整HTTP响应代码（{“ share”：false，“ comment”：false}），可以简单地绕过Chingari中允许用户关闭视频共享和评论的一项单独功能，从而使恶意方有可能分享并评论受限制的视频。

Chingari补丁程序更新

Kumar于本周早些时候向Chingari的制造商负责任地披露了该问题，该公司对此表示认可。该问题将通过Android的Chingari 2.4.1版本和针对iOS的2.2.6版本进行修补，较早版本的应用程序访问后端API。

印度神话很多，吹嘘得也很多。但是世界是在不断变化的，当外部经济和资本在当地快速发展时，当地的一些"精明“人士，自然懂得愚弄运用所谓的“民意”，最终形成自己的快速发展。无风不起浪，空穴来风事必有因啊。印度，为了转移国内抗疫压力，与中国发生摩擦，进而引导民粹思想泛滥，从而削弱中国企业在印度的优势。这或许多年后，有部分印度人会反思新冠疫情下，印度是一个什么国度吧。至少，到现在他们还没有来得及反思吧。就算是印度在华留学生也未必去反思过，从在华留学生攻击四川某大学就可见一斑了。

法国研究人员本月早些时候发现，Chingari母公司Globussoft的网站也遭到入侵，将其用户重定向到恶意页面。安全专家们提醒说，这种不幸的安全状态表明，为了民族主义而拥抱本地应用程序是一回事，但是必须对引用程序进行严格安全测试（尤其是针对非技术用户），同时还要牢记隐私和安全性。

欧洲警方成功渗透加密聊天网络逮捕数百名罪犯

我国多家企业与苹果、谷歌、Mozilla共同缩短TLS证书使用寿命