Toruk, le célèbre spectacle du Cirque du Soleil, a donné sa dernière représentation le 30 juin dernier. Durant le show, les fans étaient invités à participer à l’expérience via une application mobile dédiée baptisée « TORUK - The First Flight ». Hélas, celle-ci était vulnérable et présentait un risque pour les téléphones mobiles de ses utilisateurs.
Cette application permettait au public de participer au spectacle grâce à des effets audiovisuels générés sur leurs appareils mobiles. « Il semble que l’application n’ait pas été conçue dans un souci de sécurité. Par conséquent, quiconque était connecté au réseau pendant le spectacle avait les mêmes possibilités d’administration que les opérateurs du Cirque du Soleil », explique Lukáš Štefanko, le chercheur en sécurité qui a analysé l’application.
L’application compte plus de 100 000 installations sur Goggle Play, et il existe également une version pour iOS. Avec la fin de la tournée TORUK, l’application n’est plus commercialisée, et les responsables du Cirque du Soleil ont déclaré qu’il la retirerait des magasins d’applications officiels Android et Apple.
L’application « TORUK - The First Flight » était présentée sur le site du Cirque du Soleil
Concrètement, lorsque cette application est en cours d’exécution sur un mobile, elle ouvre un port local afin qu’il soit possible de modifier à distance les paramètres de volume, de découvrir les périphériques Bluetooth proches si Bluetooth est activé, d’afficher des animations, de définir la position du bouton « J’aime » de Facebook sur l’appareil, et de lire ou écrire dans les préférences partagées accessibles par l’application.
« Le problème est que l’application n’a pas de protocole d’authentification en place. Un adversaire peut donc analyser le réseau et obtenir les adresses IP des périphériques dont le port en question est ouvert — il s’agit du port 6161 — et envoyer des commandes à tous les périphériques l’exécutant », poursuit Lukáš Štefanko.
Selon le chercheur, rendre cette application résistante à ce type d’attaque n’était pourtant pas compliqué. « Si l’application générait un jeton unique pour chaque appareil, il serait impossible d’accéder à tous les appareils à la fois sans aucune authentification ».
Enfin, même après la fin du spectacle les appareils équipés de cette application restent vulnérables, ce qui pourrait conduire à des surprises désagréables lorsque les appareils seront connectés ultérieurement à un réseau public. « Ceux qui ont installé cette application devraient la désinstaller immédiatement. D’ailleurs, nous recommandons fortement de le faire avec toutes les applications à usage unique, liées par exemple à un événement particulier », conclut Lukáš Štefanko.
Pour une analyse détaillée des vulnérabilités découvertes, consultez le billet de Lukáš Štefanko, « A great show is now history, as is its insecure mobile app», sur le blog ESET Android App Watch.
CONTACT PRESSE
Darina Santamaria - 06 61 08 42 45- darina.j@eset-nod32.fr