Gemelo asiático de TikTok, Mitron, puede ser atacado en sólo segundos

La aplicación Mitron, la popular alternativa india para TikTok, se ha eliminado de la tienda Google Play, pues contiene una vulnerabilidad altamente crítica y sin parches, dejando la puerta abierta para cualquier tipo de ataque pues además no requiere interacción alguna con el usuario o sus contraseñas. La aplicación tuvo más de 5 millones de descargas.

Mitron no es propiedad de ninguna gran empresa, su propietario es Shibank Agarwal, estudiante de IIT Roorkee, quien compró el código fuente de una compañía de codificación paquistaní Qboxus y cambió el nombre de la aplicación a Mitron y la lanzó en India. Antes de lanzar oficialmente la
aplicación en India, Agarwal y su equipo ni siquiera personalizaron la codificación o cambiaron su política de privacidad.

La plataforma social de video se volvió viral de la noche a la mañana, fue instalada 5 millones de veces y tuvo 250,000 calificaciones de 5 estrellas en tan solo 48 días después de su lanzamiento en Google Play Store.

Aplicación de copia sin seguridad

La aplicación Mitron contiene una vulnerabilidad de software crítica y fácil de explotar que podría permitir que cualquiera omita la autorización de la cuenta de cualquier usuario de Mitron en cuestión de segundos.

El problema de seguridad descubierto por el investigador indio Rahul Kankrale reside en la forma en que la aplicación implementó la función ‘Iniciar sesión con Google’, la que solicita permiso a los usuarios para acceder a su información de perfil a través de la cuenta de Google mientras se registra, sin embargo, no usa la contraseña de autenticación.

En otras palabras, uno puede iniciar sesión en cualquier perfil de usuario de Mitron con solo conocer su ID de usuario único, y sin ingresar ninguna contraseña.

Mientras revisaba el código de la aplicación para detectar vulnerabilidades, Rahul descubrió que Mitron es en realidad una versión reempaquetada de la aplicación TicTic creada por una compañía de desarrollo de software paquistaní Qboxus que la vende como un clon de otras aplicaciones de
video.

En una entrevista con los medios, Irfan Sheikh, CEO de Qboxus, dijo que su compañía vende el código fuente, y que los compradores deben personalizarlo.

Además del propietario de Mitron, otros 250 desarrolladores también compraron el código de la aplicación TicTic desde el año pasado, ejecutando así un servicio que cuenta con graves vulnerabilidades.