Бесплатно Экспресс-аудит сайта:

02.06.2020

Популярный «клон» TikTok оказалось легко взломать

Исследователь безопасности Рахул Канкрале (Rahul Kankrale) обнаружил в популярном Android-приложении Mitron опасную уязвимость, позволяющую в считанные секунды взломать любой профиль пользователя.

Mitron представляет собой индийский «клон» популярной китайской видеоплатформы TikTok, куда пользователи могут загружать собственные короткие ролики. Несмотря на огромную популярность, вокруг TikTok разгорелись настоящие страсти, в основном из-за проблем с безопасностью пользовательских данных. В связи с этим, а также с движениями #tiktokban и #IndiansAgainstTikTok, за короткое время появилась целая «армия клонов» приложения.

Mitron (в переводе с хинди означает «друзья») не принадлежит ни одной крупной компании, однако всего за одну ночь стало вирусным. За 48 часов приложение скачали из Google Play Store 5 млн раз, более того, оно получило 250 тыс. оценок «5 звезд». Несмотря на это, пользоваться им небезопасно.

По словам Канкрале, ему удалось обнаружить уязвимость в реализации механизма авторизации в приложении через учетную запись Google. Хотя в процессе авторизации функция запрашивает у пользователя разрешение на доступ к его информации через учетную запись Google, она его не использует и не создает никакого токена.

Проще говоря, любой желающий может авторизоваться в чужой учетной записи, лишь зная уникальный идентификатор пользователя. Идентификатор является открытой информацией, и его можно найти в коде страницы. Для взлома учетной записи никакого пароля не требуется.

Канкрале попытался уведомить издателя Mitron об обнаруженной проблеме, но безуспешно. Электронный адрес, указанный на странице приложения в Google Play Store в качестве единственного контакта, оказался недействительным.

В настоящее время пользоваться Mitron небезопасно, поскольку уязвимость остается неисправленной. Кроме того, у приложения могут быть и другие проблемы с безопасностью, о которых на данный момент неизвестно.

<>