Un compte Mitron peut être piraté en quelques secondes

Mitron veut dire “Amis” en Hindi mais l’application n’est pas vraiment un produit `Made in India’, et elle contient une vulnérabilité non corrigée très critique qui pourrait permettre à n’importe qui de pirater n’importe quel compte d’utilisateur sans nécessiter d’interaction des utilisateurs ciblés ou leurs mots de passe.

Je suis sûr que beaucoup d’entre vous savent déjà ce qu’est TikTok, et pour ceux qui l’ignorent encore, c’est un réseau social de vidéo très populaire où les gens publient de courtes vidéos d’eux-mêmes faisant des choses comme la synchronisation labiale et la danse.

TikTok, qui est une application Chinoise, se fait attaquer régulièrement pour des raisons de sécurité des données et politiques. Cela a donc poussé certaines personnes à créer de nouvelles alternatives sur le marché, dont l’application Mitron pour Android.

mitron

La plate-forme sociale Mitron a récemment fait la une des journaux lorsque l’application Android a eu plus de 5 millions d’installations et 250 000 notes 5 étoiles en seulement 48 jours après sa sortie sur Google Play Store.

Sorti de nulle part, Mitron n’appartient à aucune grande entreprise, mais l’application est devenue virale du jour au lendemain, capitalisant sur son nom qui est populaire en Inde en tant que message d’accueil couramment utilisé par le Premier ministre Narendra Modi.

En plus de cela, la dernière initiative Modi pour faire en sorte que l’Inde soit autonome a indirectement mis en place le boycott des services et produits chinois, et bien sûr, la montée de hashtags comme #tiktokban et #IndiansAgainstTikTok ont également augmenté la popularité de Mitron.

Un compte d’utilisateur de Mitron peut être piraté en quelques secondes

La méfiance dû au fait que TikTok soit une application chinoise et aurait pu abuser des données de ses utilisateurs pour la surveillance a poussé des millions à opter pour une alternative moins fiable et peu sûre.

L’application Mitron contient une vulnérabilité logicielle critique et facile à exploiter qui pourrait permettre à quiconque de contourner l’autorisation de compte pour tout utilisateur Mitron en quelques secondes.

Le problème de sécurité découvert par le chercheur indien Rahul Kankrale réside dans la manière dont l’application a mis en place la fonctionnalité `Connexion avec Google’, qui demande aux utilisateurs la permission d’accéder à leurs informations de profil via un compte Google lors de l’inscription, mais, ironiquement, ne l’utilise pas ou ne crée pas tous les jetons secrets pour l’authentification.

En d’autres termes, on peut se connecter à n’importe quel profil d’utilisateur Mitron ciblé simplement en connaissant son ID d’utilisateur unique, qui est une information publique disponible dans le code source de la page, et sans entrer de mot de passe, comme le montre une démonstration vidéo partagée par Rahul.

L’application Mitron n’a pas été développée mais achetée pour seulement $34

Présenté comme un nouveau concurrent de TikTok, il s’avère que l’application Mitron n’a pas été développée à partir de rien; au lieu de cela, quelqu’un a acheté une application prête à l’emploi sur Internet et l’a simplement renommée.

En examinant le code de l’application lors de la recherche de vulnérabilités, Rahul a découvert que Mitron est en fait une version reconditionnée de l’application TicTic créée par une société de développement de logiciels pakistanaise Qboxus qui la vend comme un clone prêt-à-lancer de TikTok, musical.ly ou Dubsmash.

mitron

Dans une interview, Irfan Sheikh, PDG de Qboxus, a déclaré que son entreprise vend du code source que les acheteurs devraient personnaliser.

“Il n’y a aucun problème avec ce que le développeur a fait. Il a payé pour le script et l’a utilisé, ce qui est correct. Mais, le problème est que les gens la voient comme une application de fabrication indienne, ce qui n’est pas vrai, surtout parce qu’ils n’ont apporté aucun changement “, a déclaré Irfan.

En plus du propriétaire de Mitron, plus de 250 autres développeurs ont également acheté le code de l’application TicTic depuis l’année dernière, distribuant potentiellement des applications qui peuvent être piratées en utilisant la même vulnérabilité.

Qui se cache derrière l’application Mitron? Un Indien ou un Pakistanais?

Bien que le code ait été développé par une société pakistanaise, la véritable identité de la personne derrière l’application Mitron n’a pas encore été confirmée; cependant, certains rapports suggèrent que l’application appartient à un ancien étudiant de l’Institut indien de technologie (IIT Roorkee).

Rahul a déclaré qu’il avait essayé de signaler de manière responsable la faille au propriétaire de l’application, mais a échoué car l’adresse e-mail mentionnée sur le Google Play Store, le seul moyen de contact disponible, n’est pas opérationnelle.

En plus de cela, la page d’accueil du serveur Web (shopkiller.in), où l’infrastructure backend de l’application est hébergée, est également vierge.

L’application Mitron est-elle sécurisée?

En gros, puisque:

  • la vulnérabilité n’a pas encore été corrigée
  • le propriétaire de l’application est inconnu
  • la politique de confidentialité du service n’existe pas
  • et il n’y a pas de conditions d’utilisation

… il est fortement recommandé de ne pas installer ou utiliser cette application.

Si vous faites partie des 5 millions qui ont déjà créé un profil avec l’application Mitron et lui ont accordé l’accès à votre profil Google, révoquez cet accès immédiatement.

Malheureusement, il n’y a aucun moyen de supprimer vous-même votre compte Mitron, mais le piratage du profil utilisateur Mitron n’aurait pas d’impact grave sauf si vous avez au moins quelques milliers d’abonnés sur la plate-forme.

Cependant, garder une application non fiable installée sur votre smartphone n’est pas une bonne idée et pourrait mettre en danger vos données, il est donc conseillé aux utilisateurs de désinstaller l’application définitivement.

Si cet article vous a plu, jetez un œil à notre article précédent.