克隆TikTok爆红的Mitron,只活了50天
5月30日,一款克隆TikTok的短视频Mitron在印度登上免费下载榜榜首,短短一个月内获得了500万下载量。
正当印度网民为这款印度制造的App自豪时,印媒却指出Mitron其实是开发人员花34美元(约2500卢比)从一家巴基斯坦公司买来的代码包,不仅没有任何“本地化”的改动,还原封不动继承了源代码包的安全漏洞。
6月2日,志象网查询发现,Mitron已被谷歌应用商店下架,原因不明。
响应“为本地人发声”
5月12日,印度总理莫迪在全国演讲中向民众号召“为本地人发声”(vocal for local),很多印度初创企业表示对标Facebook、TikTok、Zoom和WhatsApp的本土应用。
Mirton、Bolo Indya、Roposo这三款都是最近流行的对标TikTok的“本土”应用。目前,Mitron仅在谷歌应用商店上线,一个月以来获得了超500万下载量和25万个5星评分,位居免费下载榜第一。Bolo Indya则是一款注重信息娱乐的短视频应用。Roposo推出得稍早,在谷歌和苹果应用商店上线,据称拥有超5000万用户,在谷歌和苹果应用商店的评分分别为4.3和4.5。
印度最近流行的对标TikTok的“本土”应用
很显然,Mitron是一款TikTok的克隆产品,它的界面设计、功能分区甚至视频风格都和TikTok如出一辙。印度媒体戏称“除了bug,其他都和TikTok一样”。
尽管Mitron bug频出,谷歌商店的应用评论区也有不少用户吐槽应用难用,但这并不妨碍用户们给它打出了4.7的高评分。
“几秒钟就可以盗取用户所有信息”
5月30日 ,印度漏洞研究安全人员Rahul Kankrale发布了一则演示Mitron安全漏洞的短视频。他指出,在注册Mitron时有“使用Google登录”功能,用户可授权使用谷歌账户登录Mitron,但开发者在使用授权时并没有设置令牌密钥(secret token)用于身份验证,导致黑客只需通过公开的用户ID,无需输入密码便可登录任何用户的配置文件。
Rahul Kankrale展示Mitron的漏洞
换句话说,该功能使应用开发者可以访问用户的Google账户信息,并盗取用户所有信息。
另外一个安全漏洞是,黑客可以给用户“发粉丝”,通过篡改“关注用户”功能的一些参数,让该账户关注一些指定账户。
Rahul 在审查Mitron的漏洞代码时发现,Mitron的代码包实际来自巴基斯坦软件开发公司Qboxus,它是该公司开发的应用TicTic 的重新打包版本。
TicTic是Qboxus模仿TikTok和Musical.ly开发出的,并将它卖给其他开发者。据媒体报道,除Mitron外,还有250多位开发人员购买了TicTic代码,专家解释说,鉴于源代码相同,其他购买相同源代码的开发者可以利用该漏洞入侵Mitron的用户数据库。
Qboxus官网上Tic Tic的介绍信息
Qboxus首席执行官Irfan Sheikh表示,“Mitron应用程序存在隐私问题,因为该应用程序的开发人员尚未上传隐私政策。公司出售源代码,但我们希望购买者可以在源代码的基础上进行自己的开发。Mitron付费购买了源代码,这无可厚非,但他们对源代码完全没有改动就在谷歌应用商店上线了。“他说,不鼓励开发者直接将应用上架供公众使用。
Counterpoint网络安全研究员Satyajit Sinha也表示,“使用Mitron应用程序存在风险,因为它在源代码之上没有任何其他防火墙,隐私政策薄弱,从长远来看可能导致用户数据面临风险。”
印度人还是巴基斯坦人?
尽管该代码是由巴基斯坦公司开发的,但尚未确认Mitron上架者的真实身份。在公开报道中,其开发者是印度理工学院(IIT Roorkee)的学生Shivank Agarwal,但该消息尚未得到本人证实。
印度电子与IT部长Ravi Shankar Prasad在社交媒体上表示,“祝贺IIT Roorkee的计算机工程师的Shivank Agarwal,他创建了很棒的平台Mitron,以应对TikTok和Facebook。”
志象网曾向Mitron在谷歌应用商店预留的开发者邮箱发信问询,但该邮件地址为无效地址。Rahul也表示,他试图告知Mitron开发者应用存在漏洞,但无法通过邮箱联系到开发者。
除此之外,托管Mitron后端基础结构的Web服务器主页shopkiller.in也为空白。但有趣的是,巴基斯坦公司Qboxus网站将Mitron列为其开发的最佳应用之一。
Qboxus网站将Mitron列为其开发的最佳应用之一
不过,这一争议已告一段落,因为Mitron 在6月2日被谷歌下架,前途未卜。