15

“像素级”抄袭TikTok的印度app,只活了50天

 4 years ago
source link: https://www.huxiu.com/article/360603.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

3qUfuyR.jpg!web

本文来自微信公众号: 志象网(ID:passagegroup) ,作者:陈燕妮,原标题为《克隆TikTok爆红的Mitron,只活了50天》

5月30日,一款克隆TikTok的短视频Mitron在印度登上免费下载榜榜首,短短一个月内获得了500万下载量。

正当印度网民为这款印度制造的App自豪时,印媒却指出Mitron其实是开发人员花34美元(约2500卢比)从一家巴基斯坦公司买来的代码包,不仅没有任何“本地化”的改动,还原封不动继承了原代码包的安全漏洞。

6月2日,志象网查询发现,Mitron已被谷歌应用商店下架,原因不明。

响应“为本地人发声”

5月12日,印度总理莫迪在全国演讲中向民众号召“为本地人发声” (vocal for local) ,很多印度初创企业表示对标Facebook、TikTok、Zoom和WhatsApp的本土应用。

Mirton、Bolo Indya、Roposo这三款都是最近流行的对标TikTok的“本土”应用。目前,Mitron仅在谷歌应用商店上线,一个月以来获得了超500万下载量和25万个5星评分,位居免费下载榜第一。Bolo Indya则是一款注重信息娱乐的短视频应用。Roposo推出得稍早,在谷歌和苹果应用商店上线,据称拥有超5000万用户,在谷歌和苹果应用商店的评分分别为4.3和4.5。

6VBRre6.jpg!web

印度最近流行的对标TikTok的“本土”应用

很显然,Mitron是一款TikTok的克隆产品,它的界面设计、功能分区甚至视频风格都和TikTok如出一辙。 印度媒体戏称“除了bug,其他都和TikTok一样”。

尽管Mitron bug频出,谷歌商店的应用评论区也有不少用户吐槽应用难用,但这并不妨碍用户们给它打出了4.7的高评分。

“几秒钟就可以盗取用户所有信息”

5月30日 ,印度漏洞研究安全人员Rahul Kankrale发布了一则演示Mitron安全漏洞的短视频。他指出,在注册Mitron时有“使用Google登录”功能,用户可授权使用谷歌帐户登录Mitron,但开发者在使用授权时并没有设置令牌密钥 (secret token) 用于身份验证,导致黑客只需通过公开的用户ID,无需输入密码便可登录任何用户的配置文件。

QZ3uUz3.jpg!web

Rahul Kankrale展示Mitron的漏洞

换句话说,该功能使应用开发者可以访问用户的Google帐户信息,并盗取用户所有信息。

另外一个安全漏洞是,黑客可以给用户“发粉丝”,通过篡改“关注用户”功能的一些参数,让该帐户关注一些指定帐户。

Rahul 在审查Mitron的漏洞代码时发现,Mitron的代码包实际来自巴基斯坦软件开发公司Qboxus,它是该公司开发的应用TicTic 的重新打包版本。

TicTic是Qboxus模仿TikTok和Musical.ly开发出的,并将它卖给其他开发者。据媒体报道,除Mitron外,还有250多位开发人员购买了TicTic代码,专家解释说,鉴于源代码相同,其他购买相同源代码的开发者可以利用该漏洞入侵Mitron的用户数据库。

umAZvae.jpg!web

Qboxus官网上Tic Tic的介绍信息

Qboxus首席执行官Irfan Sheikh表示,“Mitron应用程序存在隐私问题,因为该应用程序的开发人员尚未上传隐私政策。公司出售源代码,但我们希望购买者可以在源代码的基础上进行自己的开发。Mitron付费购买了源代码,这无可厚非,但他们对源代码完全没有改动就在谷歌应用商店上线了。“他说,不鼓励开发者直接将应用上架供公众使用。

Counterpoint网络安全研究员Satyajit Sinha也表示,“使用Mitron应用程序存在风险,因为它在源代码之上没有任何其他防火墙,隐私政策薄弱,从长远来看可能导致用户数据面临风险。”

印度人还是巴基斯坦人?

尽管该代码是由巴基斯坦公司开发的,但尚未确认Mitron上架者的真实身份。在公开报道中,其开发者是印度理工学院 (IIT Roorkee) 的学生Shivank Agarwal,但该消息尚未得到本人证实。

印度电子与IT部长Ravi Shankar Prasad在社交媒体上表示,“祝贺IIT Roorkee的计算机工程师的Shivank Agarwal,他创建了很棒的平台Mitron,以应对TikTok和Facebook。”

志象网曾向Mitron在谷歌应用商店预留的开发者邮箱发信问询,但该邮件地址为无效地址。Rahul也表示,他试图告知Mitron开发者应用存在漏洞,但无法通过邮箱联系到开发者。

除此之外,托管Mitron后端基础结构的Web服务器主页shopkiller.in也为空白。但有趣的是,巴基斯坦公司Qboxus网站将Mitron列为其开发的最佳应用之一。

2i2YZfy.jpg!web

Qboxus网站将Mitron列为其开发的最佳应用之一

不过,这一争议已告一段落,因为Mitron 在6月2日被谷歌下架,前途未卜。

本文来自微信公众号: 志象网(ID:passagegroup) ,作者:陈燕妮


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK