Mitron (signifie «amis» en hindi), vous avez encore été dupé!
Mitron n’est pas vraiment un produit « Made in India », et l’application virale contient une vulnérabilité hautement critique et non corrigée qui pourrait permettre à quiconque de pirater n’importe quel compte utilisateur sans nécessiter d’interaction de la part des utilisateurs ciblés ou de leurs mots de passe.
Je suis sûr que beaucoup d’entre vous savent déjà ce qu’est TikTok, et ceux qui ne le savent toujours pas, c’est une plate-forme sociale vidéo très populaire où les gens téléchargent de courtes vidéos d’eux-mêmes faisant des choses comme la synchronisation labiale et la danse.
La colère de TikTok, propriété chinoise de toutes les directions, principalement pour des raisons de sécurité des données et ethnopolitiques, a donné naissance à de nouvelles alternatives sur le marché, dont l’application Mitron pour Android.
Mitron La plate-forme sociale vidéo a récemment fait la une des journaux lorsque l’application Android a obtenu plus de 5 millions d’installations et 250000 évaluations 5 étoiles en seulement 48 jours après sa sortie sur le Google Play Store.
Sorti de nulle part, Mitron n’appartient à aucune grande entreprise, mais l’application est devenue virale du jour au lendemain, capitalisant sur son nom qui est populaire en Inde comme un salutation par le premier ministre Narendra Modi.
Outre cela, le dernier ‘vocal pour local‘initiative visant à rendre l’Inde autonome a indirectement mis en place un récit dans le pays pour boycotter les services et produits chinois, et bien sûr, les hashtags #tiktokban et #IndiansAgainstTikTok TikTok contre YouTube La vidéo de torréfaction de bataille et CarryMinati a également rapidement augmenté la popularité de Mitron.
Tout compte d’utilisateur Mitron peut être piraté en quelques secondes
L’insécurité selon laquelle TikTok est une application chinoise et aurait pu abuser des données de ses utilisateurs à des fins de surveillance a malheureusement transformé des millions de personnes en s’inscrivant aveuglément à une alternative moins fiable et non sécurisée.
The Hacker News a appris que l’application Mitron contient une vulnérabilité logicielle critique et facile à exploiter qui pourrait permettre à quiconque de contourner l’autorisation de compte pour tout utilisateur Mitron en quelques secondes.
Le problème de sécurité découvert par un chercheur en vulnérabilité indien Rahul Kankrale réside dans la manière dont l’application a mis en œuvre la fonctionnalité « Connexion avec Google », qui demande aux utilisateurs la permission d’accéder aux informations de leur profil via un compte Google lors de leur inscription mais, ironiquement, ne l’utilise pas ou ne crée pas de jetons secrets pour l’authentification.
En d’autres termes, on peut se connecter à n’importe quel profil utilisateur Mitron ciblé simplement en connaissant son ID utilisateur unique, qui est une information publique disponible dans la source de la page, et sans entrer de mot de passe, comme le montre une vidéo de démonstration partagée par Rahul avec The Hacker News.
L’application Mitron n’a pas été développée; Au lieu de cela acheté pour seulement 34 $
Promu en tant que concurrent local de TikTok, dans des nouvelles séparées, il s’avère que l’application Mitron n’a pas été développée à partir de zéro; au lieu de cela, quelqu’un a acheté une application prête à l’emploi sur Internet et l’a simplement renommée.
En examinant le code de l’application pour les vulnérabilités, Rahul a constaté que Mitron est en fait une version reconditionnée du Application TicTic créée par un Pakistanais la société de développement de logiciels Qboxus qui le vend comme un clone prêt à lancer pour des services de type TikTok, musical.ly ou Dubsmash.
Dans une interview avec les médias, Irfan Sheikh, PDG de Qboxus, a déclaré que son entreprise vendait le code source, que les acheteurs devraient personnaliser.
« Il n’y a pas de problème avec ce que le développeur a fait. Il a payé le script et l’a utilisé, ce qui n’est pas grave. Mais le problème vient du fait que les gens y font référence comme une application de fabrication indienne, ce qui n’est pas vrai, surtout parce qu’ils n’ont apporté aucun changement », a déclaré Irfan.
Outre le propriétaire de Mitron, plus de 250 autres développeurs ont également acheté le code de l’application TicTic depuis l’année dernière, exécutant potentiellement un service pouvant être piraté à l’aide de la même vulnérabilité.
Qui se cache derrière l’application Mitron? Un Indien ou un Pakistanais?
Bien que le code ait été développé par la société pakistanaise, l’identité réelle de la personne derrière l’application Mitron – TicTic au cœur TikTok par face – n’a pas encore été confirmée; cependant, certains rapports suggèrent qu’il appartient à un ancien étudiant de l’Institut indien de technologie (IIT Roorkee).
Rahul a déclaré à The Hacker News qu’il avait essayé de signaler de manière responsable la faille au propriétaire de l’application, mais avait échoué car l’adresse e-mail mentionnée sur le Google Play Store, le seul point de contact disponible, n’était pas opérationnelle.
En plus de cela, la page d’accueil du serveur Web (shopkiller.in), où l’infrastructure backend de l’application est hébergée, est également vide.
Considérant que la faille réside en fait dans le code de l’application TicTic et affecte tout autre service cloné similaire en cours d’exécution, The Hacker News a contacté Qboxus et a divulgué les détails de la faille avant de publier cette histoire.
Nous mettrons à jour cet article lorsque nous recevrons une réponse.
L’application Mitron est-elle sûre à utiliser?
Bref, depuis:
- la vulnérabilité n’a pas encore été corrigée,
- le propriétaire de l’application est inconnu,
- la politique de confidentialité du service n’existe pas, et
- il n’y a pas de conditions d’utilisation,
… il est fortement recommandé de ne pas installer ou d’utiliser l’application non approuvée.
Si vous faites partie des 5 millions de personnes qui ont déjà créé un profil avec l’application Mitron et lui ont accordé l’accès à votre profil Google, révoquez-le immédiatement.
Malheureusement, vous ne pouvez pas supprimer votre compte Mitron vous-même, mais le piratage du profil utilisateur de Mitron n’aura pas d’impact grave à moins que vous n’ayez au moins quelques milliers d’abonnés sur la plate-forme.
Cependant, garder une application non approuvée installée sur votre smartphone n’est pas une bonne idée et pourrait mettre en danger vos données d’autres applications et les informations sensibles stockées dessus, il est donc conseillé aux utilisateurs de désinstaller l’application pour de bon.
Poster un commentaire