Clona indiană a aplicației TikTok, ușor de spart

Josue Ortiz Novoa (@JosueOrtizNovoa) | Twitter
Puteți accesa orice cont Mitron în câteva secunde, a anunțat Rahul Kankrale, expert indian în domeniul cybersecurity. Acesta a descoperit în Mitron, populara aplicație indiană pentru Android, o vulnerabilitate periculoasă care permite spargerea oricărui profil de utilizator în câteva secunde. Mitron este „clona” indiană a TikTok, cea mai populară platformă video dezvoltată de chinezi, unde utilizatorii își pot încărca propriile videoclipuri de mici dimensiuni. În ciuda imensei sale popularități, TikTok are o sumedenie de probleme de securitazare a datelor utilizatorilor. În India, au apărut mișcările #tiktokban și #IndiansAgainstTikTok și desigur, o întreagă armată de clone a cunoscutei aplicații. Mitron (în hindi înseamnă „prieteni”) a devenit foarte populară efectiv peste noapte. Astfel, în 48 de ore, aplicația a fost descărcată de pe Google Play Store de 5 milioane de ori, primind totodată 250 de mii de evaluări de „5 stele”.
În ciuda acestui aspect, potrivit lui Kankrale, Mitron nu este sigură. Acesta a reușit să detecteze o vulnerabilitate la autorizarea în aplicație prin contul Google. El a explicat că problema apare în procesul de conectare al aplicația care permite răufăcătorilor să intercepteze și să obțină ID-ul de utilizator unic al victimei ce poate fi folosit pentru autentificarea în conturile acesteia, fără a necesita nicio parolă sau o verificare suplimentară. Kankrale a menționat că dezvoltatorul aplicației Mitron nu utilizează protocolul SSL (Secure Sockets Layer) pentru a securiza autentificarea. Deși aplicația le permite utilizatorilor să se autentifice cu conturile Google existente, aceasta procesează autentificarea prin ID-ul de utilizator unic în loc să folosească contul Google furnizat. Prin exploatarea acestei vulnerabilității, un atacator ar putea trimite mesaje către alți utilizatori și chiar să urmărească alte persoane sau să comenteze în numele victimei. Mai simplu spus, oricine se poate autentifica în contul altcuiva, cunoscând doar ID-ul de utilizator unic. Identificatorul este informație publică și poate fi găsit în codul paginii. Nu este necesară nicio parolă pentru a sparge un cont.Kankrale a încercat să-l anunțe pe dezvoltator, dar adresa de e-mail din pagina aplicației Magazin Play Google nu era validă.
Aplicația Mitron a apărut din nevoia de a contracara TikTok. Unele rapoarte susțin că a fost creată de un student indian, altele afirmă că ar fi dezvoltată de compania pakistaneză de software Qboxus.