Exclusivo: cualquier perfil de Mitron (clon viral de TikTok) se puede piratear en segundos

piratear la aplicación mitron tiktok

Mitron (significa «amigos» en hindi), ¡te han vuelto a engañar!

Mitron no es realmente un producto ‘Made in India’, y la aplicación viral contiene una vulnerabilidad altamente crítica y sin parches que podría permitir que cualquier persona piratee cualquier cuenta de usuario sin requerir la interacción de los usuarios objetivo o sus contraseñas.

Estoy seguro de que muchos de ustedes ya saben qué es TikTok, y aquellos que aún no lo saben, es una plataforma social de videos muy popular donde las personas suben videos cortos de sí mismos haciendo cosas como sincronización de labios y baile.

La ira que enfrentó TikTok de propiedad china desde todas las direcciones, principalmente debido a la seguridad de los datos y razones etnopolíticas, dio lugar a nuevas alternativas en el mercado, una de las cuales es la aplicación Mitron para Android.

La plataforma social de video Mitron recientemente captó los titulares cuando la aplicación de Android obtuvo increíblemente más de 5 millones de instalaciones y 250,000 calificaciones de 5 estrellas en solo 48 días después de su lanzamiento en Google Play Store.

Apareció de la nada, Mitron no es propiedad de ninguna gran empresa, pero la aplicación se volvió viral de la noche a la mañana, aprovechando su nombre, que es popular en India como un saludo comúnmente utilizado por el primer ministro Narendra Modi.

Además de esto, la última iniciativa de ‘vocal for local’ del primer ministro Modi para hacer que India sea autosuficiente ha establecido indirectamente una narrativa en el país para boicotear los servicios y productos chinos y, por supuesto, los hashtags #tiktokban y #IndiansAgainstTikTok son tendencia debido a TikTok vs. La batalla de YouTube y el video asado de CarryMinati también aumentaron rápidamente la popularidad de Mitron.

Cualquier cuenta de usuario de Mitron puede ser pirateada en segundos

Desafortunadamente, la inseguridad de que TikTok es una aplicación china y que supuestamente podría haber estado abusando de los datos de sus usuarios para la vigilancia hizo que millones se registraran ciegamente en una alternativa menos confiable e insegura.

The Hacker News se enteró de que la aplicación Mitron contiene una vulnerabilidad de software crítica y fácil de explotar que podría permitir que cualquier persona omita la autorización de cuenta para cualquier usuario de Mitron en segundos.

El problema de seguridad descubierto por el investigador indio de vulnerabilidades Rahul Kankrale reside en la forma en que la aplicación implementó la función ‘Iniciar sesión con Google’, que solicita permiso a los usuarios para acceder a la información de su perfil a través de la cuenta de Google mientras se registran pero, irónicamente, no la usa ni crea tokens secretos para la autenticación.

En otras palabras, uno puede iniciar sesión en cualquier perfil de usuario de Mitron objetivo simplemente conociendo su ID de usuario único, que es una información pública disponible en la fuente de la página, y sin ingresar ninguna contraseña, como se muestra en un video de demostración que compartió Rahul. con las noticias del hacker.

La aplicación Mitron no se desarrolló; En lugar de comprar por solo $ 34

Promocionado como un competidor local de TikTok, en noticias separadas, resulta que la aplicación Mitron no se ha desarrollado desde cero; en cambio, alguien compró una aplicación lista para usar en Internet y simplemente la renombró.

Mientras revisaba el código de la aplicación en busca de vulnerabilidades, Rahul descubrió que Mitron es en realidad una versión reempaquetada de la aplicación TicTic creada por una empresa de desarrollo de software pakistaní Qboxus que la vende como un clon listo para lanzar para TikTok, musical.ly o Dubsmash como servicios.

En una entrevista con los medios, Irfan Sheikh, CEO de Qboxus, dijo que su empresa vende el código fuente, que se espera que los compradores personalicen.

«No hay problema con lo que hizo el desarrollador. Pagó por el guión y lo usó, lo cual está bien. Pero el problema es que la gente se refiere a ella como una aplicación hecha en la India, lo cual no es cierto, especialmente porque no he hecho ningún cambio”, dijo Irfan.

Además del propietario de Mitron, más de 250 desarrolladores también han comprado el código de la aplicación TicTic desde el año pasado, lo que podría ejecutar un servicio que puede ser pirateado utilizando la misma vulnerabilidad.

¿Quién está detrás de la aplicación Mitron? ¿Un indio o un paquistaní?

Aunque el código ha sido desarrollado por la compañía paquistaní, la identidad real de la persona detrás de la aplicación Mitron, TicTic en el fondo TikTok por cara, aún no se ha confirmado; sin embargo, algunos informes sugieren que es propiedad de un ex alumno del Instituto Indio de Tecnología (IIT Roorkee).

Rahul le dijo a The Hacker News que intentó informar de manera responsable la falla al propietario de la aplicación, pero falló porque la dirección de correo electrónico mencionada en Google Play Store, el único punto de contacto disponible, no está operativa.

Además de esto, la página de inicio del servidor web (shopkiller.in), donde se aloja la infraestructura de back-end de la aplicación, también está en blanco.

Teniendo en cuenta que la falla en realidad reside en el código de la aplicación TicTic y afecta a cualquier otro servicio clonado similar que se esté ejecutando, The Hacker News se comunicó con Qboxus y reveló los detalles de la falla antes de publicar esta historia.

Actualizaremos este artículo cuando recibamos una respuesta.

¿Es segura la aplicación Mitron?

En resumen, ya que:

  • la vulnerabilidad aún no ha sido reparada,
  • el propietario de la aplicación es desconocido,
  • la política de privacidad del servicio no existe, y
  • no hay términos de uso,

… es muy recomendable simplemente no instalar ni usar la aplicación que no es de confianza.

Si se encuentra entre esos 5 millones que ya crearon un perfil con la aplicación Mitron y le otorgaron acceso a su perfil de Google, retírelo de inmediato.

Desafortunadamente, no hay forma de que pueda eliminar su cuenta de Mitron usted mismo, pero la piratería del perfil de usuario de Mitron no afectaría gravemente a menos que tenga al menos unos pocos miles de seguidores en la plataforma.

Sin embargo, mantener una aplicación no confiable instalada en su teléfono inteligente no es una buena idea y podría poner en riesgo sus datos de otras aplicaciones y la información confidencial almacenada en él, por lo que se recomienda a los usuarios que desinstalen la aplicación para siempre.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática