حصري: ثغرة خطيرة تتيح اختراق حسابات Mitron في ثوانٍ
إن انعدام الأمن القائل بأن Tiktok هو تطبيق صيني وربما كان يسيء استخدام بيانات مستخدميها للمراقبة ، للأسف ، حولت الملايين إلى التسجيل للحصول على بديل أقل ثقة وعدم الأمان. علمت أخبار Hacker أن تطبيق Mitron يحتوي على ثغرة برمجية حاسمة وسهلة الاستنشاق والتي يمكن أن تتيح لأي شخص تجاوز ترخيص الحساب لأي مستخدم Mitron في غضون ثوانٍ
Mitron ليس حقًا منتجًا “مصنوعًا في الهند” ، ويحتوي التطبيق الفيروسي على ثغرة أمنية للغاية غير محددة يمكن أن تسمح لأي شخص باختراق أي حساب مستخدم دون الحاجة إلى تفاعل من المستخدمين المستهدفين أو كلمات المرور الخاصة بهم.
أنا متأكد من أن العديد منكم يعرفون بالفعل ماهية Tiktok ، وأولئك الذين ما زالوا غير مدركين ، إنها منصة اجتماعية فيديو شائعة للغاية حيث يقوم الأشخاص بتحميل مقاطع فيديو قصيرة لأنفسهم يقومون بأشياء مثل مزامنة الشفاه والرقص.
إن الغضب الذي تواجهه Tiktok المملوكة الصينية من جميع الاتجاهات-وعلى معظمها بسبب أمن البيانات والأسباب الإثنسية-تولد لبدائل جديدة في السوق ، أحدها تطبيق Mitron لنظام Android.
ميترون احتلت Video Social Platform عناوين الصحف مؤخرًا عندما اكتسب تطبيق Android جنونًا أكثر من 5 ملايين عملية تثبيت و 250،000 من الفئة 5 من فئة 5 نجوم في 48 يومًا فقط بعد إصداره على متجر Google Play.
برزت ميترون من أي مكان ، لا يملكها أي شركة كبيرة ، لكن التطبيق ذهب بين عشية وضحا تحية من قبل رئيس الوزراء ناريندرا مودي.
إلى جانب هذا ، آخر PM Modi ”صخبا للمحلية‘مبادرة لجعل الهند التي تعتمد على الذات قد أنشأت بشكل غير مباشر سرد في البلاد لمقاطعة الخدمات والمنتجات الصينية ، وبالطبع ، تتجه علامات التجزئة Tiktok مقابل YouTube كما زادت فيديو Battle and Carryminati المشوي بسرعة من شعبية Mitron.
يمكن اختراق أي حساب لمستخدمي Mitron في ثوانٍ
إن انعدام الأمن القائل بأن Tiktok هو تطبيق صيني وربما كان يسيء استخدام بيانات مستخدميها للمراقبة ، للأسف ، حولت الملايين إلى التسجيل للحصول على بديل أقل ثقة وعدم الأمان.
علمت أخبار Hacker أن تطبيق Mitron يحتوي على ثغرة برمجية حاسمة وسهلة الاستنشاق والتي يمكن أن تتيح لأي شخص تجاوز ترخيص الحساب لأي مستخدم Mitron في غضون ثوانٍ.
القضية الأمنية التي اكتشفها باحث الهندي الضعيف راهول كانكرال يتواجد بالطريقة التي نفذ بها التطبيق ميزة “تسجيل الدخول مع Google” ، والتي تطرح إذن المستخدمين للوصول إلى معلومات ملفهم الشخصي عبر حساب Google أثناء التسجيل ولكن ، من المفارقات ، لا يستخدمها أو إنشاء أي رموز سرية للمصادقة.
https://www.youtube.com/watch؟v=unmmsht-v7u
بمعنى آخر ، يمكن للمرء تسجيل الدخول إلى أي ملف تعريف مستخدم Mitron المستهدف فقط من خلال معرفة معرف المستخدم الفريد الخاص به ، وهو جزء من المعلومات العامة المتوفرة في مصدر الصفحة ، ودون إدخال أي كلمة مرور – كما هو موضح في عرض فيديو Rahul المشترك مع أخبار Hacker.
لم يتم تطوير تطبيق Mitron ؛ بدلاً من ذلك اشترى مقابل 34 دولارًا فقط
تم ترقيته كمنافس محلي لـ Tiktok ، في أخبار منفصلة ، اتضح أن تطبيق Mitron لم يتم تطويره من نقطة الصفر ؛ بدلاً من ذلك ، اشترى شخص ما تطبيقًا جاهزًا من الإنترنت ، وأعاد تسمية له ببساطة.
أثناء مراجعة رمز التطبيق لنقاط الضعف ، وجد Rahul أن Mitron هو في الواقع نسخة معبأة من تطبيق Tictic الذي أنشأه باكستاني شركة تطوير البرمجيات Qboxus التي تبيعها كاستنساخ جاهز للبدء لـ Tiktok أو Musical.ly أو DubSmash Like Services.
في مقابلة مع وسائل الإعلام ، قال إرفان شيخ ، الرئيس التنفيذي لشركة Qboxus ، إن شركته تبيع رمز المصدر ، الذي من المتوقع أن يخصصه المشترين.
وقال إرفان: “لا توجد مشكلة في ما فعله المطور. لقد دفع ثمن البرنامج النصي واستخدمه ، وهو أمر جيد. لكن المشكلة هي أن الأشخاص الذين يشيرون إليه على أنه تطبيق هندي ، وهذا غير صحيح ، خاصةً لأنهم لم يقوموا بأي تغييرات”.
إلى جانب مالك Mitron ، قام أكثر من 250 مطورًا آخر بشراء رمز التطبيق Tictic منذ العام الماضي ، مما قد يدير خدمة يمكن اختراقها باستخدام نفس الضعف.
من يقف خلف تطبيق ميترون؟ هندي أو باكستاني؟
على الرغم من أن الشركة الباكستانية قد تم تطويرها من قبل الشركة الباكستانية ، إلا أنه لم يتم تأكيد الهوية الحقيقية للشخص الذي يقف وراء تطبيق Mitron – في القلب Tiktok – بعد ؛ ومع ذلك ، تشير بعض التقارير إلى أنها مملوكة من قبل طالب سابق في المعهد الهندي للتكنولوجيا (IIT ROORKEE).
أخبر Rahul The Hacker News أنه حاول الإبلاغ عن العيوب إلى مالك التطبيق ، لكنه فشل حيث أن عنوان البريد الإلكتروني المذكور في متجر Google Play ، وهو النقطة الوحيدة للاتصال المتاح ، غير التشغيلية.
إلى جانب ذلك ، فإن الصفحة الرئيسية لخادم الويب (ShopKiller.in) ، حيث يتم استضافة البنية التحتية للواجهة الخلفية للتطبيق.
بالنظر إلى أن الخلل يقيم فعليًا في رمز التطبيق Tictic ويؤثر على أي خدمة استنساخية أخرى تنفد هناك ، فقد تواصلت أخبار Hacker إلى Qboxus وكشفت عن تفاصيل العيب قبل نشر هذه القصة.
سنقوم بتحديث هذه المقالة عندما نتلقى رد.
هل تطبيق Mitron آمن للاستخدام؟
باختصار ، منذ:
- لم يتم ترقيم الضعف بعد ،
- صاحب التطبيق غير معروف ،
- سياسة خصوصية الخدمة غير موجودة ، و
- لا توجد شروط للاستخدام ،
… يوصى بشدة بعدم تثبيت أو استخدام التطبيق غير الموثوق.
إذا كنت من بين هؤلاء 5 ملايين ، فقد أنشأوا بالفعل ملف تعريف مع تطبيق Mitron ومنحته الوصول إلى ملف تعريف Google الخاص بك ، إبطالها على الفور.
لسوء الحظ ، لا توجد طريقة يمكنك من خلالها حذف حساب Mitron بنفسك ، لكن اختراق ملف تعريف مستخدم Mitron لن يؤثر بشدة إلا إذا كان لديك على الأقل بضعة آلاف من المتابعين على المنصة.
ومع ذلك ، فإن الحفاظ على تطبيق غير موثوق به على هاتفك الذكي ليس فكرة جيدة ويمكن أن يضع بياناتك من التطبيقات الأخرى والمعلومات الحساسة المخزنة عليه للخطر ، لذلك يُنصح المستخدمون بإلغاء تثبيت التطبيق للخير.
