5月30日,一款克隆TikTok的短視頻Mitron在印度登上免費下載榜榜首,短短一個月內獲得了500萬下載量。
正當印度網民為這款印度製造的App自豪時,印媒卻指出Mitron其實是開發人員花34美元(約2500盧比)從一家巴基斯坦公司買來的代碼包,不僅沒有任何“本地化”的改動,還原封不動繼承了源代碼包的安全漏洞。
6月2日,志象網查詢發現,Mitron已被谷歌應用商店下架,原因不明。
響應“為本地人發聲”
5月12日,印度總理莫迪在全國演講中向民眾號召“為本地人發聲”(vocal for local),很多印度初創企業表示對標Facebook、TikTok、Zoom和WhatsApp的本土應用。
Mirton、Bolo Indya、Roposo這三款都是最近流行的對標TikTok的“本土”應用。目前,Mitron僅在谷歌應用商店上線,一個月以來獲得了超500萬下載量和25萬個5星評分,位居免費下載榜第一。Bolo Indya則是一款注重信息娛樂的短視頻應用。Roposo推出得稍早,在谷歌和蘋果應用商店上線,據稱擁有超5000萬用戶,在谷歌和蘋果應用商店的評分分別為4.3和4.5。
很顯然,Mitron是一款TikTok的克隆產品,它的界面設計、功能分區甚至視頻風格都和TikTok如出一轍。印度媒體戲稱“除了bug,其他都和TikTok一樣”。
儘管Mitron bug頻出,谷歌商店的應用評論區也有不少用戶吐槽應用難用,但這並不妨礙用戶們給它打出了4.7的高評分。
“幾秒鐘就可以盜取用戶所有信息”
5月30日 ,印度漏洞研究安全人員Rahul Kankrale發布了一則演示Mitron安全漏洞的短視頻。他指出,在注冊Mitron時有“使用Google登錄”功能,用戶可授權使用谷歌账戶登錄Mitron,但開發者在使用授權時並沒有設置令牌密鑰(secret token)用於身份驗證,導致黑客只需通過公開的用戶ID,無需輸入密碼便可登錄任何用戶的配置文件。
換句話說,該功能使應用開發者可以訪問用戶的Google账戶信息,並盜取用戶所有信息。
另外一個安全漏洞是,黑客可以給用戶“發粉絲”,通過篡改“關注用戶”功能的一些參數,讓該账戶關注一些指定账戶。
Rahul 在審查Mitron的漏洞代碼時發現,Mitron的代碼包實際來自巴基斯坦軟體開發公司Qboxus,它是該公司開發的應用TicTic 的重新打包版本。
TicTic是Qboxus模仿TikTok和Musical.ly開發出的,並將它賣給其他開發者。據媒體報導,除Mitron外,還有250多位開發人員購買了TicTic代碼,專家解釋說,鑒於源代碼相同,其他購買相同源代碼的開發者可以利用該漏洞入侵Mitron的用戶數據庫。
Qboxus首席執行官Irfan Sheikh表示,“Mitron應用程序存在隱私問題,因為該應用程序的開發人員尚未上傳隱私政策。公司出售源代碼,但我們希望購買者可以在源代碼的基礎上進行自己的開發。Mitron付費購買了源代碼,這無可厚非,但他們對源代碼完全沒有改動就在谷歌應用商店上線了。“他說,不鼓勵開發者直接將應用上架供公眾使用。
Counterpoint網絡安全研究員Satyajit Sinha也表示,“使用Mitron應用程序存在風險,因為它在源代碼之上沒有任何其他防火牆,隱私政策薄弱,從長遠來看可能導致用戶數據面臨風險。”
印度人還是巴基斯坦人?
儘管該代碼是由巴基斯坦公司開發的,但尚未確認Mitron上架者的真實身份。在公開報導中,其開發者是印度理工學院(IIT Roorkee)的學生Shivank Agarwal,但該消息尚未得到本人證實。
印度電子與IT部長Ravi Shankar Prasad在社交媒體上表示,“祝賀IIT Roorkee的計算機工程師的Shivank Agarwal,他創建了很棒的平台Mitron,以應對TikTok和Facebook。”
志象網曾向Mitron在谷歌應用商店預留的開發者郵箱發信問詢,但該郵件地址為無效地址。Rahul也表示,他試圖告知Mitron開發者應用存在漏洞,但無法通過郵箱聯繫到開發者。
除此之外,託管Mitron後端基礎結構的Web伺服器主頁shopkiller.in也為空白。但有趣的是,巴基斯坦公司Qboxus網站將Mitron列為其開發的最佳應用之一。
不過,這一爭議已告一段落,因為Mitron 在6月2日被谷歌下架,前途未卜。
香港九龍灣馬來街興發大廈15樓D室