任何Mitron(仿抖音app)配置文件都可以在几秒钟内被黑客入侵

Mitron（在印地语中是“朋友”），您又被骗了！

Mitron并不是真正的“印度制造”产品，该病毒应用程序包含一个非常关键的，未修补的漏洞，该漏洞可能使任何人都可以入侵任何用户帐户，而无需与目标用户或他们的密码进行交互。

我敢肯定，你们中的许多人已经知道TikTok是什么，并且仍然不知道，这是一个非常受欢迎的视频社交平台，人们可以在上面上传自己的短视频，以进行口形同步和跳舞。

中国拥有的TikTok在各个方面都面临着愤怒，这主要是由于数据安全和种族政治原因所致。这催生了市场上的新替代产品，其中之一就是Android的Mitron应用程序。

当Android应用在Google Play商店发布后仅48天，就疯狂地获得了超过500万的安装和25万个5星级评级，因此Mitron视频社交平台最近引起了媒体的关注。

突如其来的Mitron并不是任何大公司所有，但该应用程序一夜之间风靡一时，并利用了在印度颇受欢迎的名字，即总理纳伦德拉·莫迪（Narendra Modi）常用的问候语。

除此之外，莫迪总理最新的“声援当地人”倡议旨在使印度自力更生，从而间接在印度建立了抵制中国服务和产品的故事，当然，由于TikTok vs.YouTube之战和CarryMinati烘焙视频也迅速增加了Mitron的知名度。

任何Mitron用户帐户都可以在几秒钟内被黑客入侵

TikTok是中国应用程序，并且据称可能滥用其用户数据进行监视，这种不安全感不幸地使成千上万的人盲目地注册了不那么受信任和不安全的替代方案。

《黑客新闻》了解到，Mitron应用程序包含一个关键且易于利用的软件漏洞，该漏洞可能使任何人都可以在几秒钟内绕过对任何Mitron用户的帐户授权。

印度漏洞研究人员Rahul Kankrale发现的安全问题在于应用实施“使用Google登录”功能的方式，该功能要求用户在注册时允许通过Google帐户访问其个人资料信息，但具有讽刺意味的是，它不使用或创建任何用于身份验证的秘密令牌。

换句话说，只要知道他或她的唯一用户ID（这是页面源中可用的公共信息），而无需输入任何密码，就可以登录任何目标Mitron用户个人资料-如Rahul共享的视频演示所示与《黑客新闻》。

Mitron App未开发；取而代之的是仅售$ 34

在另外的新闻中，作为TikTok的本土竞争对手被提拔出来的事实证明，Mitron应用程序并不是从零开始开发的。取而代之的是，有人从互联网上购买了现成的应用程序，并只是对其重新命名。

在审查该应用程序的漏洞代码时，Rahul发现Mitron实际上是巴基斯坦软件开发公司Qboxus创建的TicTic应用程序的重新打包版本，该公司将其出售为TikTok，music.ly或TikTok的现成克隆版本。喜欢Dubsmash的服务。

Qboxus首席执行官Irfan Sheikh在接受媒体采访时说，他的公司出售源代码，希望购买者可以自定义源代码。

“开发人员所做的工作没有问题。他为脚本付费并使用了它，这没关系。但是，问题在于人们将其称为印度制造的应用程序，这是不对的，尤其是因为他们尚未进行任何更改，” Irfan说。

自去年以来，除Mitron的所有者外，还有250多个其他开发人员还购买了TicTic应用程序代码，从而可能运行可以使用相同漏洞被黑客入侵的服务。

谁在Mitron App的背后？印度人还是巴基斯坦人？

尽管该代码是由巴基斯坦公司开发的，但尚未确认Mitron应用程序背后的人的真实身份-面部表情TikTok内心的TicTic-；但是，一些报告表明它是由印度理工学院（IIT Roorkee）的一名前学生拥有的。

Rahul告诉The Hacker News，他试图以负责任的方式向应用程序所有者报告该漏洞，但由于Google Play商店中提及的电子邮件地址（唯一的可用联系人）无法操作，因此失败了。

除此之外，托管应用程序后端基础结构的Web服务器主页（shopkiller.in）也为空白。

考虑到该漏洞实际上存在于TicTic应用程序代码中，并且会影响在那里运行的任何其他类似的克隆服务，因此在发布此故事之前，《黑客新闻》已联系Qboxus并披露了该漏洞的详细信息。收到回复后，我们将更新本文。

Mitron App使用安全吗？

简而言之，由于：

该漏洞尚未修复，

该应用的所有者是未知的，

服务的隐私政策不存在，

并且没有使用条款，

..强烈建议不要安装或使用不受信任的应用程序。

如果您是已经使用Mitron应用程序创建了个人资料并授予其访问您的Google个人资料权限的那500万用户之一，请立即将其撤销。

不幸的是，您无法删除自己的Mitron帐户，但是除非平台上至少有数千名关注者，否则对Mitron用户配置文件的黑客攻击不会造成严重影响。

但是，在智能手机上安装不受信任的应用程序不是一个好主意，并且可能会使来自其他应用程序的数据和存储在其上的敏感信息处于危险之中，因此建议用户永久卸载该应用程序。

来源：墙头漫剪