Setelah terungkap kerentanan di aplikasi Mitron (aplikasi kloning dari TikTok ), sekarang ini ditemukan pula virus di aplikasi lain yang sejenis dengan Mitron yaitu Chingari.
Aplikasi yang berasal dari India ini ditemukan rentan terhadap bypass otentikasi kritis dan mudah dieksploitasi, hal ini memungkinkan siapa saja untuk membajak akun pengguna dan merusak informasi, konten serta bahkan mengunggah informasi, konten dan video yang tidak sah.
Aplikasi Chingari, tersedia untuk smartphone Android dan iOS melalui toko aplikasi resmi, yang dirancang untuk memungkinkan pengguna merekam video bentuk pendek, mengikuti berita, dan terhubung dengan pengguna lain melalui fitur pesan langsung. Sejak diluncurkan pada November 2018, Chingari telah mengalami lonjakan popularitas dalam beberapa hari terakhir setelah larangan India pada aplikasi milik Cina akhir bulan lalu, melewati 10 juta unduhan di Google Play Store dalam waktu kurang dari sebulan.
Aplikasi Chingari untuk iOS dan Android meminta pengguna untuk mendaftarkan akun dengan memberikan akses profil dasar ke akun Google mereka, yang merupakan bagian standar dari otentikasi berbasis OAuth. Namun, menurut Girish Kumar, seorang peneliti cybersecurity di perusahaan Encode Middle East di Dubai, Chingari menggunakan ID pengguna yang dibuat secara acak untuk mengambil masing-masing informasi profil dan data lain dari servernya tanpa bergantung pada token rahasia untuk otentikasi dan otorisasi pengguna.
Kumar secara bertanggung jawab mengungkapkan masalah ini kepada pembuat Chingari awal pekan ini, dan perusahaan yang menanggapi mengakui kerentanannya.
Dikutip dari The Hacker News yang telah juga menjangkau Sumit Ghosh, pendiri Chingari, mengkonfirmasi publikasi bahwa masalah tersebut akan ditambal dengan Chingari versi 2.4.1 untuk Android dan 2.2.6 untuk iOS, yang diharapkan akan diluncurkan ke jutaan perusahaan. pengguna melalui Google Play Store dan Apple app store mulai hari ini (11 Juli 2020).
Selain itu, untuk melindungi pengguna yang tidak memperbarui aplikasi tepat waktu, perusahaan telah memutuskan untuk menonaktifkan akses ke API back-end dari versi aplikasi yang lebih lama.
Jika Anda adalah pengguna Chingari, sangat disarankan agar Anda memperbarui aplikasi segera setelah versi terbaru tersedia untuk menghindari kemungkinan penyalahgunaan.
Dalam insiden terpisah, seorang peneliti Perancis awal bulan ini melihat bahwa situs web Globussoft, perusahaan di belakang Chingari, juga telah dikompromikan untuk meng-host skrip malware, mengarahkan penggunanya ke halaman berbahaya.
