Rival de TikTok, Mitron tiene una vulnerabilidad que podría permitir a los piratas informáticos secuestrar cuentas

Mitrón, un spin-off de TikTok que ha sido controvertido en India, solo tiene otro problema reportado. Un investigador de ciberseguridad ha informado que la aplicación tiene una vulnerabilidad de inicio de sesión que puede usarse para secuestrar una cuenta y usarla para ataques de suplantación de identidad. Además, envía su tráfico a través de un protocolo inseguro, que puede permitir que los piratas informáticos intercepten y escuchen las comunicaciones. El creador de esta aplicación aún no ha lanzado un parche para esto.

La reacción inicial

Después de que los jóvenes indios lucharon en la guerra virtual entre YouTube y TikTok a principios de este mes, se creó una aplicación similar llamada Mitron para llamar la atención. Mitron fue inicialmente llamado por ser de origen indio, nosotros, un estudiante de IIT Roorkee, hicimos este spin-off de TikTok para los indios.

Además, como el Primer Ministro de la India recomendó el uso de productos locales para impulsar la economía nacional, los cibernautas recurrieron a Mitron, que satisface ambas situaciones, como migrar de TikTok chino y ser indio.

Mitron tiene una vulnerabilidad que podría permitir a los piratas informáticos secuestrar cuentas
Mitron tiene una vulnerabilidad que podría permitir a los piratas informáticos secuestrar cuentas

Bueno, eso no duró mucho. Un informe de 360 gadgets ayer declaró que Mitron está hecho sobre la base de la infraestructura de Pakistán, por lo tanto, no India! Una empresa de software llamada Qboxus hizo un spin-off de TikTok llamado Tic Tic en Pakistán, que vendió su código fuente a un indio por solo $ 34! Y así surgió Mitron, sin cambios significativos, solo el nombre y el logotipo.

Robo de cuenta por robo de identidad

Y ahora, un investigador de ciberseguridad llamado Rahul Kankrale mostró cómo esta aplicación no es segura de usar. ¡Demostró a través de un video que Mitron tiene una vulnerabilidad de inicio de sesión que permite a un oponente hacerse cargo de las cuentas y dar me gusta, enviar mensajes, comentar y seguir a alguien en nombre de la víctima! La aplicación utiliza una identificación de usuario única que puede eliminarse de su código y usarse para un inicio de sesión falso.

Aunque requiere una cuenta de Google para crear una cuenta, todavía usa el ID de usuario único que creó para iniciar sesión. Además, también se le acusa de transportar su tráfico a través de un protocolo no SSL, con el riesgo de interceptar las comunicaciones. ¡Esta falla también se registró en TikTok real!

Dado que la autenticidad del fabricante de esta aplicación aún no ha sido verificada, nosotros, al igual que otros, no recomendamos usar esta aplicación en este momento.

A través de la: 360 gadgets