Mitron (có nghĩa là “bạn bè” trong tiếng Hindi), bạn lại bị lừa!
Mitron không thực sự là một sản phẩm ‘Made in India’ và ứng dụng lan truyền chứa một lỗ hổng nghiêm trọng, chưa được vá, có thể cho phép bất kỳ ai xâm nhập vào bất kỳ tài khoản người dùng nào mà không cần tương tác từ người dùng được nhắm mục tiêu hoặc mật khẩu của họ.
Tôi chắc rằng nhiều bạn đã biết TikTok là gì và những người vẫn chưa biết, đó là một nền tảng xã hội video rất phổ biến nơi mọi người tải lên các video ngắn của họ làm những việc như hát nhép và nhảy.
Sự phẫn nộ mà TikTok thuộc sở hữu của Trung Quốc phải đối mặt từ mọi hướng, chủ yếu là vì lý do bảo mật dữ liệu và dân tộc học đã tạo ra các lựa chọn thay thế mới trên thị trường, một trong số đó là ứng dụng Mitron cho Android.
Mitron nền tảng xã hội video gần đây đã gây chú ý khi ứng dụng Android điên cuồng đạt được hơn 5 triệu lượt cài đặt và 250.000 xếp hạng 5 sao chỉ trong 48 ngày sau khi được phát hành trên Google Play Store.
Xuất hiện từ hư không, Mitron không thuộc sở hữu của bất kỳ công ty lớn nào, nhưng ứng dụng đã lan truyền qua đêm, tận dụng tên của nó phổ biến ở Ấn Độ như một thông dụng chào Thủ tướng Narendra Modi.
Bên cạnh đó, PM Modi mới nhất ‘thanh nhạc cho địa phương‘sáng kiến làm cho Ấn Độ tự lực đã gián tiếp thiết lập một câu chuyện trong nước để tẩy chay các dịch vụ và sản phẩm của Trung Quốc, và tất nhiên, #tiktokban và #IndiansAgainstTikTok có xu hướng TikTok so với YouTube trận chiến và video quay CarryMinati cũng nhanh chóng làm tăng sự phổ biến của Mitron.
Bất kỳ tài khoản người dùng Mitron nào cũng có thể bị hack trong vài giây
Sự không an toàn rằng TikTok là một ứng dụng của Trung Quốc và có thể đã bị cáo buộc lạm dụng dữ liệu của người dùng để giám sát, thật không may, đã biến hàng triệu người đăng ký để thay thế một cách mù quáng ít tin cậy và không an toàn.
Tin tức Hacker biết rằng ứng dụng Mitron chứa lỗ hổng phần mềm quan trọng và dễ khai thác có thể cho phép bất kỳ ai bỏ qua ủy quyền tài khoản cho bất kỳ người dùng Mitron nào trong vòng vài giây.
Vấn đề bảo mật được phát hiện bởi nhà nghiên cứu lỗ hổng Ấn Độ La Mã Kankrale cư trú trong cách ứng dụng triển khai tính năng ‘Đăng nhập bằng Google’, yêu cầu sự cho phép của người dùng truy cập thông tin hồ sơ của họ thông qua tài khoản Google trong khi đăng ký, nhưng trớ trêu thay, không sử dụng hoặc tạo bất kỳ mã thông báo bí mật nào để xác thực.
Nói cách khác, người ta có thể đăng nhập vào bất kỳ hồ sơ người dùng Mitron được nhắm mục tiêu nào chỉ bằng cách biết ID người dùng duy nhất của mình, đây là một phần thông tin công khai có sẵn trong nguồn trang và không cần nhập bất kỳ mật khẩu nào như được trình bày trong video trình diễn mà Rahul đã chia sẻ với Tin tức Hacker.
Ứng dụng Mitron không được phát triển; Thay vào đó chỉ mua $ 34
Được quảng cáo là đối thủ cạnh tranh tại nhà với TikTok, trong một tin tức riêng biệt, hóa ra ứng dụng Mitron chưa được phát triển từ đầu; thay vào đó, ai đó đã mua một ứng dụng làm sẵn từ Internet và chỉ cần đổi thương hiệu cho nó.
Trong khi xem xét mã của ứng dụng về các lỗ hổng, Rahul thấy rằng Mitron thực sự là một phiên bản được đóng gói lại của Ứng dụng TicTic được tạo bởi một người Pakistan công ty phát triển phần mềm Qboxus đang bán nó dưới dạng bản sao sẵn sàng ra mắt cho các dịch vụ như TikTok, nhạc kịch.ly hoặc Dubsmash.
Trong một cuộc phỏng vấn với giới truyền thông, Irfan Sheikh, CEO của Qboxus, cho biết công ty của ông bán mã nguồn mà người mua dự kiến sẽ tùy chỉnh.
“Không có vấn đề gì với những gì nhà phát triển đã làm. Anh ấy đã trả tiền cho kịch bản và sử dụng nó, điều đó không sao. Nhưng, vấn đề là ở chỗ mọi người coi nó là một ứng dụng do Ấn Độ sản xuất, điều đó không đúng, đặc biệt là vì họ đã không thực hiện bất kỳ thay đổi, “Irfan nói.
Ngoài chủ sở hữu của Mitron, hơn 250 nhà phát triển khác cũng đã mua mã ứng dụng TicTic từ năm ngoái, có khả năng chạy một dịch vụ có thể bị hack bằng cách sử dụng cùng một lỗ hổng.
Ai đứng sau ứng dụng Mitron? Người Ấn Độ hay người Pakistan?
Mặc dù mã được phát triển bởi công ty Pakistan, nhưng danh tính thực sự của người đứng sau ứng dụng Mitron là Tic TicTic ở trái tim TikTok bởi khuôn mặt vẫn chưa được xác nhận; tuy nhiên, một số báo cáo cho thấy nó thuộc sở hữu của một cựu sinh viên của Viện Công nghệ Ấn Độ (IIT Roorkee).
Rahul nói với The Hacker News rằng anh đã cố gắng báo cáo một cách có trách nhiệm lỗ hổng cho chủ sở hữu ứng dụng nhưng không thành công vì địa chỉ email được đề cập trên Google Play Store, điểm liên lạc khả dụng duy nhất, không hoạt động.
Bên cạnh đó, trang chủ cho máy chủ web (shopkiller.in), nơi cơ sở hạ tầng phụ trợ của ứng dụng được lưu trữ, cũng trống.
Xem xét rằng lỗ hổng thực sự nằm trong mã ứng dụng TicTic và ảnh hưởng đến bất kỳ dịch vụ nhân bản tương tự nào khác đang hoạt động ngoài đó, The Hacker News đã tìm đến Qboxus và tiết lộ chi tiết về lỗ hổng này trước khi xuất bản câu chuyện này.
Chúng tôi sẽ cập nhật bài viết này khi chúng tôi nhận được phản hồi.
Ứng dụng Mitron có an toàn để sử dụng không?
Tóm lại, kể từ:
- lỗ hổng vẫn chưa được vá,
- chủ sở hữu của ứng dụng không xác định
- chính sách bảo mật của dịch vụ không tồn tại và
- không có điều khoản sử dụng,
… Rất khuyến khích đơn giản là không cài đặt hoặc sử dụng ứng dụng không đáng tin cậy.
Nếu bạn nằm trong số 5 triệu người đã tạo hồ sơ bằng ứng dụng Mitron và cấp cho nó quyền truy cập vào hồ sơ Google của bạn, thu hồi nó ngay lập tức.
Thật không may, không có cách nào bạn có thể tự xóa tài khoản Mitron của mình, nhưng việc hack hồ sơ người dùng Mitron sẽ không ảnh hưởng nghiêm trọng trừ khi bạn có ít nhất vài nghìn người theo dõi trên nền tảng.
Tuy nhiên, giữ một ứng dụng không đáng tin cậy được cài đặt trên điện thoại thông minh của bạn không phải là ý tưởng hay và có thể khiến dữ liệu của bạn từ các ứng dụng khác và thông tin nhạy cảm được lưu trữ trên ứng dụng đó bị rủi ro, vì vậy người dùng nên gỡ cài đặt ứng dụng cho tốt.
