Η παράσταση «TORUK» του διάσημου Cirque du Soleil χρησιμοποιούσε για διαφημιστικούς λόγους μία εφαρμογή, που καθιστούσε τα κινητά των χρηστών ευάλωτα. Η εφαρμογή, που ονομαζόταν «TORUK – The First Flight», είχε σχεδιαστεί για να δίνει σε χρήστες iOS και Android τη δυνατότητα να συμμετέχουν στην παράσταση μέσω συγχρονισμένων οπτικοακουστικών εφέ που δημιουργούνταν στα κινητά τους.
«Φαίνεται ότι κατά το σχεδιασμό της εφαρμογής «TORUK» δεν είχε ληφθεί υπόψη ο παράγοντας της ασφάλειας. Ως αποτέλεσμα, όποιος συνδεόταν στο δίκτυο κατά τη διάρκεια της παράστασης είχε τις ίδιες δυνατότητες διαχείρισης με τους διαχειριστές του Cirque du Soleil», εξηγεί ο ερευνητής της ESET Lukáš Štefanko, που ανέλυσε την εφαρμογή.
Η εφαρμογή «TORUK – The First Flight» έχει πάνω από 100.000 λήψεις στο Google Play, ενώ υπάρχει και μια έκδοση για iOS. Με την ολοκλήρωση των παραστάσεων «TORUK», η εφαρμογή σταμάτησε να είναι διαθέσιμη και οι υπεύθυνοι του Cirque du Soleil δήλωσαν ότι θα την αποσύρουν από τα επίσημα καταστήματα εφαρμογών για συσκευές Android και Apple.
Όταν χρησιμοποιείται αυτή η εφαρμογή, ανοίγει μια τοπική θύρα ώστε να είναι δυνατή η απομακρυσμένη αλλαγή των ρυθμίσεων έντασης ήχου, ο εντοπισμός κοντινών συσκευών Bluetooth (αν είναι ενεργοποιημένη η λειτουργία Bluetooth), η εμφάνιση animation, η ρύθμιση του κουμπιού «Like» για το Facebook καθώς και η συμμετοχή σε κοινόχρηστες προτιμήσεις που είναι προσβάσιμες στην εφαρμογή.
«Το πρόβλημα είναι ότι η εφαρμογή δεν διαθέτει πρωτόκολλο ελέγχου ταυτότητας. Ένας επιτήδειος μπορεί να σαρώσει το δίκτυο, να συλλέξει τις διευθύνσεις IP των συσκευών εφόσον η συγκεκριμένη θύρα είναι ανοικτή (θύρα 6161) και να στείλει εντολές σε όλες τις συσκευές που χρησιμοποιούν την εφαρμογή», εξηγεί ο Štefanko.
Σύμφωνα με τον Štefanko, θα ήταν πολύ απλό να θωρακιστεί η ανθεκτικότητα της εφαρμογής απέναντι σε αυτό το είδος επίθεσης. «Αν η εφαρμογή δημιουργούσε ένα μοναδικό token για κάθε συσκευή, τότε θα ήταν αδύνατο κάποιος να αποκτήσει πρόσβαση σε όλες τις συσκευές μαζικά, χωρίς έλεγχο εξακρίβωσης ταυτότητας»
Μετά την παράσταση, όλες οι συσκευές που έχουν εγκατεστημένη τη συγκεκριμένη εφαρμογή εξακολουθούν να είναι ευάλωτες, επομένως οι χρήστες κινδυνεύουν να αντιμετωπίσουν δυσάρεστες εκπλήξεις οποιαδήποτε στιγμή μελλοντικά, αν είναι συνδεδεμένοι σε δημόσιο δίκτυο.
«Οι χρήστες που έχουν εγκαταστήσει αυτήν την εφαρμογή πρέπει να την απεγκαταστήσουν αμέσως. Παρεμπιπτόντως, συνιστούμε να το κάνουν αυτό με όλες τις εφαρμογές που έχουν σχεδιαστεί για μία συγκεκριμένη χρήση», καταλήγει ο Štefanko.
Περισσότερες πληροφορίες βρίσκονται στο σχετικό blogpost του Lukáš Štefanko «A great show is now history, as is its insecure mobile app» στο Android App Watch της ESET.
Η προώθηση της εφαρμογής «TORUK – The First Flight» στην ιστοσελίδα του Cirque du Soleil
Σχετικά με την ESET
Εδώ και 30 χρόνια, η ESET® αναπτύσσει λογισμικό και υπηρεσίες κορυφαίου επιπέδου για την ασφάλεια επιχειρήσεων και καταναλωτών σε όλο τον κόσμο. Οι λύσεις της ESET, που καλύπτουν ένα ευρύ φάσμα, από την προστασία endpoint και mobile, έως την κρυπτογράφηση και την πιστοποίηση διπλού παράγοντα, διακρίνονται για τις υψηλές επιδόσεις και την ευκολία στη χρήση, προσφέροντας σε καταναλωτές και επιχειρήσεις την ευκαιρία να απολαμβάνουν με ξεγνοιασιά όλες τις δυνατότητες της τεχνολογίας τους. Η ESET προστατεύει και παρακολουθεί όλο το 24ωρο αθόρυβα, προσαρμόζοντας και ανανεώνοντας τις άμυνες της σε πραγματικό χρόνο, ώστε οι χρήστες να είναι ασφαλείς και οι επιχειρήσεις να λειτουργούν αδιάκοπα. Οι απειλές μεταβάλλονται διαρκώς και απαιτούν μια εταιρεία IT ασφάλειας που μπορεί να εξελίσσεται. Διαθέτει παγκοσμίως κέντρα R&D που την υποστηρίζουν, και αποτελεί την πρώτη εταιρεία ασφάλειας IT που έχει φτάσει τον αριθμό των 100 βραβείων Virus Bulletin VB100, χωρίς να έχει χάσει ούτε ένα «in-the-wild» ιό από το 2003. Η ESET διαθέτει τοπικά γραφεία σε Αθήνα και Λευκωσία, καθώς κι ένα εκτεταμένο δίκτυο συνεργατών σε Ελλάδα και Κύπρο. Για περισσότερες πληροφορίες επισκεφθείτε το www.eset.com/gr/.
Μάθετε πρώτοι τα νέα της ESET Hellas:
Facebook | YouTube |Twitter