Las noticias de los piratas informáticos informes que el especialista en seguridad indio Rahul Kankral descubrió una vulnerabilidad crítica en la aplicación Mitron para Android, que es un clon de TikTok. La vulnerabilidad le permite capturar las cuentas de otras personas sin ninguna interacción del usuario..
Más recientemente, la aplicación Mitron llegó a los titulares con más de 5 millones de instalaciones y más 250,000 calificaciones de cinco estrellas en solo 48 días después de su lanzamiento en Google Play Store.
Curiosamente, aunque Mitron se posiciona como una aplicación india, no fue desarrollado en la India.
“La aplicación no fue desarrollada en absoluto desde cero., en cambio, alguien compró una solución ya preparada y simplemente le cambió el nombre. De hecho, Mitron es una versión reempaquetada de la aplicación TicTic, creado por una empresa de desarrollo paquistaní, Qboxus, que vende clones de TikTok listos para usar, musical.ly, Dubsmash y otros servicios similares”, – señalaron los reporteros de The Hacker News.
Aún no está claro quién está exactamente detrás de Mitron, pero muchos suponen que la solicitud pertenece a un ex alumno del Instituto Indio de Tecnología.
Aunque Mitron no es producto de ninguna gran empresa y no fue creado en India, la aplicación rápidamente ganó popularidad en el país, sobre todo gracias a la iniciativa del Primer Ministro Narendra Modi, destinado a hacer que la India sea más independiente. Esto generó una ola de llamados a boicotear los servicios y productos chinos., y hashtags como #tiktokban y #IndiansAgainstTikTok se han vuelto tendencia.
Como resultado, el hecho de que TikTok sea una aplicación china y los rumores de que puede hacer un mal uso de los datos de los usuarios y rastrearlos, desafortunadamente, han empujado a millones de personas a cambiar a una alternativa mucho más peligrosa.
“Mitron contiene una vulnerabilidad crítica y extremadamente fácil de usar que permite eludir la autenticación de cualquier cuenta de usuario en unos segundos.. La raíz del problema es cómo se implementa la función Iniciar sesión con Google en la aplicación., cual, durante el inicio de sesión, pide permiso a los usuarios para acceder a los datos de su perfil de Google, pero no utiliza esta información y no crea tokens de autenticación secretos”, – dice la revista The Hacker News.
En esencia, debido a la vulnerabilidad, Es posible iniciar sesión en cualquier cuenta de usuario de Mitron simplemente conociendo su ID única. (sin ingresar una contraseña), la cual está clasificada como información pública y no será difícil reconocerla. Esto es lo que demuestra el investigador en el siguiente vídeo..
Representantes de Qboxus, ¿Quién creó realmente TicTic? (y por lo tanto Mitrón), dijo a los medios que la empresa solo vende códigos fuente que los clientes deben configurar ellos mismos. La empresa también señaló que están muy preocupados por el hecho de que la aplicación se posicione como india. (lo cual no es cierto) y distribuido sin ningún cambio en el código.
Aún no está claro si los desarrolladores solucionarán la vulnerabilidad en su código y notificarán a otros compradores sobre el problema.. El hecho es que más de 250 otros desarrolladores ya han comprado el código TicTic, y estos clones también pueden verse afectados por la misma vulnerabilidad.
El investigador que descubrió el problema en Mitron intentó informar del error al propietario de la aplicación., pero resultó que la dirección de correo electrónico especificada en Google Play Store no funciona. No hay otras formas de contactar al comprador del clon., y la página de inicio del servidor web (shopkiller.in), que aloja la infraestructura de la aplicación, esta vacio.
El experto insta a todos los usuarios de Mitron a eliminar urgentemente la aplicación y revocar el permiso para acceder al perfil de Google..
Sin embargo, el TikTok chino original no es perfectamente seguro; ya les dije que los investigadores lograron hack TikTok using SMS.
