Индийский аналог TikTok имеет опасные уязвимости

Дата: 02.06.2020. Автор: Артем П. Категории: Новости по информационной безопасности
Индийский аналог TikTok имеет опасные уязвимости

Всего несколько секунд потребуется для взлома любой учетной записи мобильного приложения Mitron, являющегося индийским аналогом TikTok. К такому выводу пришел ИБ-специалист Рахул Канкарле, который обнаружил в распространенном в Азии приложении серьезную уязвимость, с помощью которой любой человек практически мгновенно получает доступ к аккаунту любого пользователя.

Mitron – полный индийский аналог TikTok. Приложение создано группой разработчиков, не относящихся к какой-либо компании. Количество скачиваний из Google Play – десятки миллионов, большее количество оценок – 5 звезд. Но выяснилось, что безопасность приложения находится на крайне низком уровне.

Рахул Канкарле утверждает, что уязвимость была обнаружена во время авторизации в приложении с помощью аккаунта Google. Интересно то, что при авторизации через Google система запрашивает у пользователя разрешение на получение доступа к его сведениям через аккаунт Google. Вместе с этим, система не пользуется этим разрешением, не создает токенов.

Иными словами, каждый человек имеет возможность зайти в чужой аккаунт, если знает персональный идентификатор. В свою очередь, такой идентификатор – это открытые данные, которые хранятся в коде страницы веб-браузера. Поэтому, чтобы взломать аккаунт конкретного пользователя Mitron, пароля не потребуется.

Рахул Канкарле, после обнаружения столь серьезной уязвимости, хотел уведомить разработчиков о найденной проблеме, но в контактах приложения был только один электронный адрес, который оказался несуществующим. Поэтому специалист решил выложить соответствующую запись в своем блоге, а также создал ролик на YouTube, в котором подробно описал проблему и процесс взлома случайного аккаунта.

Использование приложения Mitron на данный момент – небезопасная практика, потому что учетная запись, вне зависимости от количества подписчиков, может быть взломана буквально любым человеком. Рахул Канкарле сообщил, это только первая проблема, которую он обнаружил в Mitron, поэтому общее количество серьезных уязвимостей может достигать десятков и сотен штук. Он продолжит работу в этом направлении и будет выкладывать ролики на YouTube, чтобы разработчики обратили внимание на существующие проблемы с безопасностью аккаунтов пользователей.

Артем П

Об авторе Артем П

Автор на портале cisoclub.ru. Добавляйте ваш материал на сайт в разделе "Разместить публикацию".
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *