Устройствата на над 100 000 потребители могат да бъдат хакнати заради уязвимост в мобилно приложение на Cirque du Soleil. Уязвимостта е разкрита след разследване на екипа ни, а препоръката е да деинсталирате приложението на TORUK – The First Flight, най-малкото, защото от него вече няма практическа полза.
Какво е Toruk?
TORUK – The First Flight е шоу на Cirque du Soleil, вдъхновено от хита на Джеймс Камерън Avatar.
За да бъде максимално интерактивно и близо до публиката, приложението позволява на зрителите си да виждат шоуто и ефектите му, както и множество допълнителни функционалности и екстри (например, видеа зад сцената и др.). То дава на операторите от Cirque du Soleil и права да контролират самото устройство – в което се корени и проблемът.
Слаба защита
При стартирането си, приложението отваря локален порт за комуникация, за да позволи на операторите от Cirque du Soleil да контролират звука, да се свързват с други устройства, да пускат видеа на екрана на устройството и други подобни функции. На практика, приложението предоставя значителни права за отдалечено управление на устройството.
Проблемът е, че освен операторите, всеки, който има достъп до приложението, може да контролира други потребители, които са си го инсталирали. Тоест, дори и да не сте оператор на Cirque du Soleil, можете да управлявате устройствата на други потребители, които са инсталирали и пуснали приложението.
Причината е, че за установяване на отдалечен контрол върху засегнатото устройство не се изисква никаква автентикация на потребител. Достатъчно е хакерът само да сканира мрежата, в която се намират свързаните устройства и да търси такива с отворен порт 6161 (това е портът, отворен от приложението). След като ги открие, хакерът може да започне да изпраща команди към тях.
Устройствата остават уязвими и след края на шоуто (чието последно представление е било на 30 юни) – освен, ако не деинсталирате приложението.
Без ъпдейти
При списването на този материал най-актуалната версия на TORUK – The First Flight в Google Play е била от ноември 2016 г. От Cirque du Soleil са свалили приложението и от магазина на Android, и от App Store.
Ако имате приложението, изтрийте го и вие, за да не станете неволна жертва.
Темата е добър повод да проверите дали нямате и други подобни изостанали приложения, които не сте ъпдейтвали - или, които не ползвате. Замислете се: има ли причина те да са на телефоните ви?