As notícias dos hackers relatórios que o especialista em segurança indiano Rahul Kankral descobriu uma vulnerabilidade crítica no aplicativo Mitron Android, que é um clone do TikTok. A vulnerabilidade permite capturar contas de outras pessoas sem qualquer interação do usuário.
Mais recentemente, o aplicativo Mitron chegou às manchetes com mais de 5 milhões de instalações e mais 250,000 classificações de cinco estrelas em apenas 48 dias depois de ser lançado na Google Play Store.
Interessantemente, embora Mitron esteja posicionado como um aplicativo indiano, não foi desenvolvido na Índia.
“O aplicativo não foi desenvolvido do zero, em vez de, alguém comprou uma solução pronta e simplesmente a renomeou. Na verdade, Mitron é uma versão reformulada do aplicativo TicTic, criado por uma empresa de desenvolvimento paquistanesa, Qboxus, que vende clones prontos para uso do TikTok, musicalmente, Dubsmash e outros serviços similares”, – observaram os repórteres do The Hacker News.
Quem exatamente está por trás de Mitron ainda não está claro, mas muitos presumem que o aplicativo pertence a um ex-aluno do Instituto Indiano de Tecnologia.
Embora Mitron não seja um produto de nenhuma grande empresa e não tenha sido criado na Índia, o aplicativo rapidamente ganhou popularidade no país, sobretudo graças à iniciativa do Primeiro-Ministro Narendra modi, com o objetivo de tornar a Índia mais independente. Isto gerou uma onda de apelos ao boicote aos serviços e produtos chineses, e hashtags como #tiktokban e #IndiansAgainstTikTok se tornaram tendências.
Como resultado, o fato de o TikTok ser um aplicativo chinês e rumores de que ele pode usar indevidamente os dados do usuário e rastrear usuários, infelizmente, levaram milhões de pessoas a mudar para uma alternativa muito mais perigosa.
“Mitron contém uma vulnerabilidade crítica e extremamente fácil de usar que permite ignorar a autenticação de qualquer conta de usuário em poucos segundos. A raiz do problema é como a função Login com Google é implementada no aplicativo, qual, durante o login, pede permissão aos usuários para acessar os dados de seus perfis do Google, mas não usa essas informações e não cria tokens de autenticação secretos”, – diz a revista The Hacker News.
Em essência, por causa da vulnerabilidade, é possível fazer login em qualquer conta de usuário Mitron simplesmente sabendo seu ID exclusivo (sem digitar uma senha), que é classificado como informação pública e não será difícil reconhecê-lo. É o que a pesquisadora demonstra no vídeo abaixo.
Representantes da Qboxus, quem realmente criou o TicTic (e, portanto, Mitron), disse à mídia que a empresa só vende códigos-fonte que os próprios clientes devem configurar. A empresa também destacou que está muito preocupada com o fato do aplicativo estar posicionado como indiano (o que não é verdade) e distribuído sem quaisquer alterações no código.
Ainda não está claro se os desenvolvedores irão corrigir a vulnerabilidade em seu código e notificar outros compradores sobre o problema. O fato é que mais do que 250 outros desenvolvedores já compraram o código TicTic, e esses clones também podem ser afetados pela mesma vulnerabilidade.
O pesquisador que descobriu o problema no Mitron tentou reportar o bug ao proprietário do aplicativo, mas descobriu-se que o endereço de e-mail especificado na Google Play Store não funciona. Não há outras maneiras de entrar em contato com o comprador do clone, e a página inicial do servidor web (shopkiller.in), que hospeda a infraestrutura do aplicativo, está vazia.
O especialista pede a todos os usuários do Mitron que removam o aplicativo com urgência e revoguem a permissão de acesso ao perfil do Google.
No entanto, o TikTok chinês original não é perfeitamente seguro – já disse que os pesquisadores conseguiram hack TikTok using SMS.
