Viral TikTok Klonu Profili Saniyeler İçinde Hacklenebilir (Mitron)

Viral TikTok Klonu Profili Saniyeler İçinde Hacklenebilir (Mitron)

Mitron (Hintçe “arkadaşlar” anlamına gelir), yine kandırıldın!

Mitron aslında ”Made in India’ ürünü değil ve bu viral uygulama, herhangi biri hedeflediği kullanıcılardan etkileşim almadan veya kullanıcıların parolaları gerekmeden hesabı hackleyebileceği son derece kritik, kaldırılmamış(yamalanmamış) güvenlik açığı içeriyor.

Eminim ki sizler çoktan TikTok’un ne olduğunu biliyorsunuz. Bilmeyenler için TikTok, insanların dudak hareketleri yaptıkları ve dans gibi kısa videolarını paylaştıkları çok popüler bir video sosyal platformudur.

Çin’in TikTok’u -çoğunlukla veri güvenliği ve etnopolitik nedenlerden dolayı- her yönden karşılaştığı öfke, mağazalara(Android için) Mitron adında uygulama çıkarmasını sağladı.

Mitron video sosyal platformu, Google Play Store’da yayımlandıktan sadece 48 gün sonra 5 milyondan fazla indirme ve 250 bin 5-yıldızlı oylama ile manşetlere girdi.


Birden fırlayan Mitron, herhangi bir büyük şirkete ait değil. Hindistan Başbakanı Narendra Modi tarafından çokca kullanılan Mitron kelimesi, Hindistan’daki kelimenin popülerliğinden yararlanarak bir gecede viral oldu.

Bunun yanı sıra Başbakan Modi’nin Hindistan’ın kendine güvenmesini sağlamak için en son yaptığı ‘vocal for local’ girişimi, dolaylı olarak ülkede Çin hizmetlerini ve ürünlerini boykot etmek için bir anlatı oluşturdu ve tabi TikTok vs. YouTube savaşı ve CarryMinati kızartma videosu nedeniyle trend olan #tiktokban ve #IndiansAgainstTikTok hashtag’ler de Mitron’un popülaritesini hızla artırdı.

Herhangi Bir Mitron Hesabı Saniyeler İçinde Hacklenebilir

TikTok’un bir Çin uygulaması olduğu ve kullanıcılarının verilerini gözetim için kötüye kullandığı iddiası ne yazık ki milyonları körü körüne daha az güvenilir, güvenli olmayan bir alternatife kaydolmaya sürükledi.

The Hacker News, Mitron uygulamasında saniyeler içinde herhangi bir Mitron kullanıcısının hesap yetkilendirmesini(authorization) atlatmasını sağlayan kritik ve kolayca sömürülebilir(exploit) yazılım zafiyeti içerdiğini öğrendi.

Hintli zafiyet araştırmacısı Rahul Kankrale tarafından bulunan bu güvenlik sorunu, uygulamanın ‘Google ile Giriş Yap’ özelliğini hayata geçirme(implement) biçiminde yatmaktadır. Bu özellik, kullanıcıların kaydolurken profil bilgilerine Google hesabı üzerinden erişmelerine izin verir fakat uygulama ironik bir şekilde bu bilgileri kullanmaz veya kimlik doğrulaması için herhangi bir token oluşturmaz.

Başka bir deyişle, benzersiz kullanıcı ID’sini bilerek herhangi bir hedeflenmiş Mitron kullanıcı profiline, parola girmeden Raul’un The Hacker News ile paylaştığı videoda gösterdiği gibi giriş yapılabilinir ki bu ID herkese açık, kaynak koddan erişilebilir.

Mitron Uygulaması Geliştirilmedi; Sadece 34 Dolara Satın Alındı

TikTok’a yerli bir rakip olarak tanıtılan, ayrı haberlerde, Mitron uygulamasının sıfırdan geliştirilmediği; bunun yerine birisinin internetten hazır yapılmış bir uygulamayı satın alıp kolayca markalaştırdığı ortaya çıkıyor.

Rahul uygulamanın kodlarında zafiyet araştırması yaparken Mitron’un aslında Pakistanlı yazılım geliştirme şirketi olan Qboxus’un(TikTok, musical.ly veya Dubsmash benzeri servisler için tanıtıma hazır bir klon olarak satan şirket) TicTic uygulamasının yeniden düzenlenmiş versiyonu olduğunu gördü.

Medya ile yapılan röportajda Qboxus’un CEO’su Irfan Sheikh, şirketinin özelleştirmek için bekleyen alıcılara, kaynak kodu sattığını söylüyor.

Irfan “Geliştiricinin yaptığıyla ilgili bir problem yok. Script(kaynak kod) için para verdi ve bunu kullandı, her şey tamam. Ama problem şu ki (kodda) hiçbir değişiklik yapmamalarına rağmen insanlar bunu Hindistan yapımı olarak adlandırıyor, bu doğru değil.” dedi.

Mitron sahibinin yanı sıra 250’den fazla geliştirici de geçen yıldan bu yana TicTic uygulamasının kaynak kodunu satın aldı ve bu sebepten aynı güvenlik açığı kullanılarak hacklenebilecek başka hizmetler de aktif halde.

Mitron Uygulamasının Arkasında Kim Var ? Hint mi Pakistan mı ?

Kod, Pakistanlı şirket tarafından geliştirilmiş olsa da Mitron uygulamasının arkasındaki kişinin gerçek kimliği henüz doğrulanmadı. Bununla birlikte bazı raporlar Hindistan Teknoloji Enstitüsü’nün (IIT Roorkee) eski bir öğrencisine ait olduğunu göstermektedir.

Rahul, The Hacker News’e bu zafiyeti uygulama sahibine bildirmeyi denediğini ancak ulaşabileceği tek adres Google Play Store’da belirtilen mail adresi olduğu ve bu adresin çalışmadığı için başarısız olduğunu söyledi.

Ayrıca uygulamanın backend altyapısının barındırıldığı web sunucusunun(shopkiller.in) anasayfası da boş.

Bu kusurun TicTic uygulama kodunda bulunduğunu ve diğer benzer klonlanmış servislerin de etkilendiğini göz önünde bulundurarak The Hacker News, Qboxus’a ulaştı ve bu hikayeyi yayımlamadan önce kusurun ayrıntılarını açıkladı.

Mitron Uygulaması Kullanımı Güvenli mi?

Kısacası:

  • bu zafiyet henüz yamalanmamış,
  • uygulamanın sahibi bilinmiyor,
  • hizmetin gizlilik politikası yok,
  • kullanım şartları yok,

Güvenilmeyen uygulamayı yüklememenizi veya kullanmamanızı önemle tavsiye ederiz.

Eğer siz de Mitron uygulamasında çoktan hesap oluşturan ve Google profiline erişim veren 5 milyon kişiden biriyseniz derhal iptal edin! (iptal etmek ve Google hesabınıza erişimi olan uygulamaları görmek isterseniz tıklayınız)

Maalesef Mitron hesabınızı kendi başınıza silmenin bir yolu yok. Bu platformda en az birkaç bin takipçiniz yoksa Mitron kullanıcı profilinin saldırıya uğraması pek de sorun teşkil etmeyecektir.

Mamafih güvenilir olmayan uygulamaları akıllı telefonlarınızda tutmak iyi bir fikir değil ve diğer uygulamalardaki verilenizi ve üzerinde depolanan hassas bilgilerinizi tehlikeye atabilir. Bu nedenle kullanıcıların bu tarz uygulamaları telefonlarından kaldırmaları önerilir.


Mobil uygulama geliştirme ve güvenliği açısından önemli olan OWASP Mobile Top 10 yazımıza buradan ulaşabilirsiniz. Bu sayede mobil uygulamalarda geliştiricilerin nerelerde ve nasıl riskler oluşturabileceğini daha net görebilirsiniz.

Kaynak

Related Posts

Facebook Comments