Индийский клон TikTok, приложение Mitron, позволяет взламывать профили пользователей - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Видео уроки
Наш опрос



Наши новости

       
2-06-2020, 16:06
Индийский клон TikTok, приложение Mitron, позволяет взламывать профили пользователей - «Новости»
Рейтинг:
Категория: Новости

Издание The Hacker News сообщает, что индийский ИБ-специалист Рахул Канкрал обнаружил критическую проблему в Android-приложении Mitron, представляющем собой клон TikTok. Критическая уязвимость позволяет захватывать чужие учетные записи без какого-либо взаимодействия с пользователем.


Совсем недавно приложение Mitron попало в заголовки новостей, набрав более 5 млн установок и более 250 000 пятизвездочных оценок всего за 48 дней после релиза в Google Play Store. Интересно, что хотя Mitron позиционируется как индийское приложение, разработано оно было не в Индии. Издание отмечает, что приложение вообще не было разработано с нуля,­ вместо этого кто-то купил готовое решение и попросту переименовал его. На самом деле Mitron — это перепакованная версия приложения TicTic, созданного пакистанской компанией-разработчиком Qboxus, которая продает готовые для работы клоны TikTok, musical.ly, Dubsmash и других подобных сервисов.


Кто именно стоит Mitron до сих пор неясно, но многие предполагают, что приложение принадлежит бывшему студенту Индийского технологического института.


Хотя Mitron не является продуктом какой-либо крупной компании и было создано не в Индии, приложение быстро набрало популярность в стране, не в последнюю очередь благодаря инициативе премьер-министра Нарендры Моди, направленной на то, чтобы сделать Индию более самостоятельной. Это породило волну призывов бойкотировать китайские услуги и продукты, а в тренды вышли такие хэштеги, как  #tiktokban и #IndiansAgainstTikTok.


В итоге тот факт, что TikTok является китайским приложением и слухи о том, что оно, возможно, злоупотребляет данными пользователей и следит за ними, к сожалению, подтолкнули миллионы людей перейти на куда более опасную альтернативу.


Mitron содержит критическую и крайне простую в использовании уязвимость, которая позволяет ­за несколько секунд обойти авторизацию для учетной записи любого пользователя. Корень проблемы заключается в том, как в приложении реализована функция Login with Google, которая во время входа запрашивает у пользователей разрешение на доступ к данным их профиля Google, однако не использует эту информацию и не создает секретные токены аутентификации.


В сущности, из-за уязвимости можно войти в любой аккаунт пользователя Mitron, просто зная его уникальный ID (без ввода пароля), который относится к разряду общедоступной информации и узнать его не составит труда. Именно это и демонстрирует исследователь в ролике ниже.




Представители компании Qboxus, действительно создавшие TicTic (а значит и Mitron), сообщили СМИ, что компания лишь продает исходники, которые покупатели должны настраивать самостоятельно. Также в компании отметили, что их весьма тревожит тот факт, что приложение позиционируется как индийское (что не соответствует действительности) и распространяется без каких-либо изменений в коде.


До сих пор не совсем ясно, собираются ли разработчики исправить уязвимость в своем коде и уведомить о проблеме других покупателей. Дело в том, что код TicTic уже приобрели более 250 других разработчиков, и эти клоны тоже могут быть подвержены той же уязвимости.


Обнаружившийся проблему в Mitron исследователь попытался сообщить о баге владельцу приложения, однако оказалось, что адрес электронной почты, указанный в Google Play Store, не работает. Других способов связи с покупателем клона нет, а домашняя страница веб-сервера (shopkiller.in), на которой размещена инфраструктура приложения, пуста.


Эксперт призывает всех пользователей Mitron срочно удалить приложение и отозвать разрешение на доступ к профилю Google.


Издание The Hacker News сообщает, что индийский ИБ-специалист Рахул Канкрал обнаружил критическую проблему в Android-приложении Mitron, представляющем собой клон TikTok. Критическая уязвимость позволяет захватывать чужие учетные записи без какого-либо взаимодействия с пользователем. Совсем недавно приложение Mitron попало в заголовки новостей, набрав более 5 млн установок и более 250 000 пятизвездочных оценок всего за 48 дней после релиза в Google Play Store. Интересно, что хотя Mitron позиционируется как индийское приложение, разработано оно было не в Индии. Издание отмечает, что приложение вообще не было разработано с нуля,­ вместо этого кто-то купил готовое решение и попросту переименовал его. На самом деле Mitron — это перепакованная версия приложения TicTic, созданного пакистанской компанией-разработчиком Qboxus, которая продает готовые для работы клоны TikTok, musical.ly, Dubsmash и других подобных сервисов. Кто именно стоит Mitron до сих пор неясно, но многие предполагают, что приложение принадлежит бывшему студенту Индийского технологического института. Хотя Mitron не является продуктом какой-либо крупной компании и было создано не в Индии, приложение быстро набрало популярность в стране, не в последнюю очередь благодаря инициативе премьер-министра Нарендры Моди, направленной на то, чтобы сделать Индию более самостоятельной. Это породило волну призывов бойкотировать китайские услуги и продукты, а в тренды вышли такие хэштеги, как

Теги: CSS

Просмотров: 446
Комментариев: 0:   2-06-2020, 16:06
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме:
Комментарии для сайта Cackle