克隆tiktok爆红的mitron,只活了50天-博天堂在线开户

发新帖

克隆tiktok爆红的mitron,只活了50天 行业新闻

威尔德编辑 2月前 87478

猎云网注:5月30日,mitron在印度登上免费下载榜榜首。6月2日,mitron被谷歌应用商店下架,原因不明。文章来源:志象网(id:passagegroup),作者:陈燕妮。

5月30日,一款克隆tiktok的短视频mitron在印度登上免费下载榜榜首,短短一个月内获得了500万下载量。

正当印度网民为这款印度制造的app自豪时,印媒却指出mitron其实是开发人员花34美元(约2500卢比)从一家巴基斯坦公司买来的代码包,不仅没有任何“本地化”的改动,还原封不动继承了原代码包的安全漏洞。

6月2日,志象网查询发现,mitron已被谷歌应用商店下架,原因不明。

响应“为本地人发声”

5月12日,印度总理莫迪在全国演讲中向民众号召“为本地人发声”(vocal for local),很多印度初创企业表示对标facebook、tiktok、zoom和whatsapp的本土应用。

mirton、bolo indya、roposo这三款都是最近流行的对标tiktok的“本土”应用。目前,mitron仅在谷歌应用商店上线,一个月以来获得了超500万下载量和25万个5星评分,位居免费下载榜第一。bolo indya则是一款注重信息娱乐的短视频应用。roposo推出得稍早,在谷歌和苹果应用商店上线,据称拥有超5000万用户,在谷歌和苹果应用商店的评分分别为4.3和4.5。

很显然,mitron是一款tiktok的克隆产品,它的界面设计、功能分区甚至视频风格都和tiktok如出一辙。印度媒体戏称“除了bug,其他都和tiktok一样”。

尽管mitron bug频出,谷歌商店的应用评论区也有不少用户吐槽应用难用,但这并不妨碍用户们给它打出了4.7的高评分。

“几秒钟就可以盗取用户所有信息”

5月30日 ,印度漏洞研究安全人员rahul kankrale发布了一则演示mitron安全漏洞的短视频。他指出,在注册mitron时有“使用google登录”功能,用户可授权使用谷歌帐户登录mitron,但开发者在使用授权时并没有设置令牌密钥(secret token)用于身份验证,导致黑客只需通过公开的用户id,无需输入密码便可登录任何用户的配置文件。

换句话说,该功能使应用开发者可以访问用户的google帐户信息,并盗取用户所有信息。

另外一个安全漏洞是,黑客可以给用户“发粉丝”,通过篡改“关注用户”功能的一些参数,让该帐户关注一些指定帐户。

rahul 在审查mitron的漏洞代码时发现,mitron的代码包实际来自巴基斯坦软件开发公司qboxus,它是该公司开发的应用tictic 的重新打包版本。

tictic是qboxus模仿tiktok和musical.ly开发出的,并将它卖给其他开发者。据媒体报道,除mitron外,还有250多位开发人员购买了tictic代码,专家解释说,鉴于源代码相同,其他购买相同源代码的开发者可以利用该漏洞入侵mitron的用户数据库。

qboxus首席执行官irfan sheikh表示,“mitron应用程序存在隐私问题,因为该应用程序的开发人员尚未上传隐私政策。公司出售源代码,但我们希望购买者可以在源代码的基础上进行自己的开发。mitron付费购买了源代码,这无可厚非,但他们对源代码完全没有改动就在谷歌应用商店上线了。“他说,不鼓励开发者直接将应用上架供公众使用。

counterpoint网络安全研究员satyajit sinha也表示,“使用mitron应用程序存在风险,因为它在源代码之上没有任何其他防火墙,隐私政策薄弱,从长远来看可能导致用户数据面临风险。”

印度人还是巴基斯坦人?

尽管该代码是由巴基斯坦公司开发的,但尚未确认mitron上架者的真实身份。在公开报道中,其开发者是印度理工学院(iit roorkee)的学生shivank agarwal,但该消息尚未得到本人证实。

印度电子与it部长ravi shankar prasad在社交媒体上表示,“祝贺iit roorkee的计算机工程师的shivank agarwal,他创建了很棒的平台mitron,以应对tiktok和facebook。”

志象网曾向mitron在谷歌应用商店预留的开发者邮箱发信问询,但该邮件地址为无效地址。rahul也表示,他试图告知mitron开发者应用存在漏洞,但无法通过邮箱联系到开发者。

除此之外,托管mitron后端基础结构的web服务器918博天堂官网主页shopkiller.in也为空白。但有趣的是,巴基斯坦公司qboxus网站将mitron列为其开发的最佳应用之一。

qboxus网站将mitron列为其开发的最佳应用之一

不过,这一争议已告一段落,因为mitron 在6月2日被谷歌下架,前途未卜。

注:本文转载自猎云网(微信号:ilieyun),转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。如有侵权行为,请联系918博天堂官网,我们会及时删除。

成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加- 918博天堂官网的版权声明 1、本主题所有言论和图片纯属会员个人意见,与博天堂在线开户-918博天堂官网立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者威尔德编辑博天堂在线开户-918博天堂官网享有帖子相关918博天堂官网的版权。
3、博天堂在线开户-918博天堂官网管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者威尔德编辑博天堂在线开户-918博天堂官网的同意。

这家伙太懒了,什么也没留下。
最新回复 (0)
只看楼主
全部楼主
    • 博天堂在线开户-918博天堂官网
      成都威尔德公司承接各种互联网业务-帮助中小企业转型互联网加
      2
        立即登录 立即注册 qq登录
免责声明:本站部分资源来源于网络,如有侵权请发邮件(673011635@qq.com)告知我们,我们将会在24小时内处理。
网站地图