Издание The Hacker News сообщает, что индийский ИБ-специалист Рахул Канкрал обнаружил критическую проблему в Android-приложении Mitron, представляющем собой клон TikTok. Критическая уязвимость позволяет захватывать чужие учетные записи без какого-либо взаимодействия с пользователем.
Совсем недавно приложение Mitron попало в заголовки новостей, набрав более 5 млн установок и более 250 000 пятизвездочных оценок всего за 48 дней после релиза в Google Play Store. Интересно, что хотя Mitron позиционируется как индийское приложение, разработано оно было не в Индии. Издание отмечает, что приложение вообще не было разработано с нуля, вместо этого кто-то купил готовое решение и попросту переименовал его. На самом деле Mitron — это перепакованная версия приложения TicTic, созданного пакистанской компанией-разработчиком Qboxus, которая продает готовые для работы клоны TikTok, musical.ly, Dubsmash и других подобных сервисов.
Кто именно стоит Mitron до сих пор неясно, но многие предполагают, что приложение принадлежит бывшему студенту Индийского технологического института.
Хотя Mitron не является продуктом какой-либо крупной компании и было создано не в Индии, приложение быстро набрало популярность в стране, не в последнюю очередь благодаря инициативе премьер-министра Нарендры Моди, направленной на то, чтобы сделать Индию более самостоятельной. Это породило волну призывов бойкотировать китайские услуги и продукты, а в тренды вышли такие хэштеги, как #tiktokban и #IndiansAgainstTikTok.
В итоге тот факт, что TikTok является китайским приложением и слухи о том, что оно, возможно, злоупотребляет данными пользователей и следит за ними, к сожалению, подтолкнули миллионы людей перейти на куда более опасную альтернативу.
Mitron содержит критическую и крайне простую в использовании уязвимость, которая позволяет за несколько секунд обойти авторизацию для учетной записи любого пользователя. Корень проблемы заключается в том, как в приложении реализована функция Login with Google, которая во время входа запрашивает у пользователей разрешение на доступ к данным их профиля Google, однако не использует эту информацию и не создает секретные токены аутентификации.
В сущности, из-за уязвимости можно войти в любой аккаунт пользователя Mitron, просто зная его уникальный ID (без ввода пароля), который относится к разряду общедоступной информации и узнать его не составит труда. Именно это и демонстрирует исследователь в ролике ниже.
Представители компании Qboxus, действительно создавшие TicTic (а значит и Mitron), сообщили СМИ, что компания лишь продает исходники, которые покупатели должны настраивать самостоятельно. Также в компании отметили, что их весьма тревожит тот факт, что приложение позиционируется как индийское (что не соответствует действительности) и распространяется без каких-либо изменений в коде.
До сих пор не совсем ясно, собираются ли разработчики исправить уязвимость в своем коде и уведомить о проблеме других покупателей. Дело в том, что код TicTic уже приобрели более 250 других разработчиков, и эти клоны тоже могут быть подвержены той же уязвимости.
Обнаружившийся проблему в Mitron исследователь попытался сообщить о баге владельцу приложения, однако оказалось, что адрес электронной почты, указанный в Google Play Store, не работает. Других способов связи с покупателем клона нет, а домашняя страница веб-сервера (shopkiller.in), на которой размещена инфраструктура приложения, пуста.
Эксперт призывает всех пользователей Mitron срочно удалить приложение и отозвать разрешение на доступ к профилю Google.
