Η παράσταση "TORUK" του διάσημου Cirque du Soleil χρησιμοποιούσε για διαφημιστικούς λόγους μία εφαρμογή, που καθιστούσε τα cell phones των χρηστών ευάλωτα. Η εφαρμογή, που ονομαζόταν "TORUK – The First Flight", είχε σχεδιαστεί για να δίνει σε χρήστες iOS και Android τη δυνατότητα να συμμετέχουν στην παράσταση μέσω συγχρονισμένων οπτικοακουστικών εφέ που δημιουργούνταν στα κινητά τους.
"Φαίνεται ότι κατά το σχεδιασμό της εφαρμογής TORUK δεν είχε ληφθεί υπόψη ο παράγοντας της ασφάλειας. Ως αποτέλεσμα, όποιος συνδεόταν στο δίκτυο κατά τη διάρκεια της παράστασης είχε τις ίδιες δυνατότητες διαχείρισης με τους διαχειριστές του Cirque du Soleil", εξηγεί ο ερευνητής της ESET Lukáš Štefanko, που ανέλυσε την εφαρμογή.
Η εφαρμογή "TORUK – The First Flight" έχει πάνω από 100.000 λήψεις στο Google Play, ενώ υπάρχει και μια έκδοση για iOS.
Με την ολοκλήρωση των παραστάσεων "TORUK", η εφαρμογή σταμάτησε να είναι διαθέσιμη και οι υπεύθυνοι του Cirque du Soleil δήλωσαν ότι θα την αποσύρουν από τα επίσημα καταστήματα εφαρμογών για συσκευές Android και Apple.
When this application is used, it opens a local door ώστε να είναι δυνατή η απομακρυσμένη αλλαγή των ρυθμίσεων έντασης ήχου, ο εντοπισμός κοντινών συσκευών Bluetooth (αν είναι ενεργοποιημένη η λειτουργία Bluetooth), η εμφάνιση animation, η ρύθμιση του κουμπιού "Like" για το Facebook καθώς και η συμμετοχή σε κοινόχρηστες προτιμήσεις που είναι προσβάσιμες στην εφαρμογή.
"Το πρόβλημα είναι ότι η εφαρμογή δεν διαθέτει πρωτόκολλο ελέγχου ταυτότητας. Ένας επιτήδειος μπορεί να σαρώσει το δίκτυο, να συλλέξει τις διευθύνσεις IP των συσκευών εφόσον η συγκεκριμένη θύρα είναι ανοικτή (θύρα 6161) και να στείλει commands σε όλες τις συσκευές που χρησιμοποιούν την εφαρμογή", εξηγεί ο Štefanko.
According to Štefanko, it would be very simple to shield the application's resilience against this kind attacks.
If the app generated a unique token for each device, then it would be impossible for anyone to obtain access across all devices in bulk, with no authentication check
After the show, all devices that have this app installed are still vulnerable, so users are at risk of experiencing unpleasant surprises at any time in the future if they are connected to a public network.
"Οι χρήστες που έχουν εγκαταστήσει αυτήν την εφαρμογή πρέπει να την απεγκαταστήσουν αμέσως. Παρεμπιπτόντως, συνιστούμε να το κάνουν αυτό με όλες τις εφαρμογές που έχουν σχεδιαστεί για μία συγκεκριμένη χρήση", καταλήγει ο Štefanko.
More information can be found on this blogpost του Lukáš Štefanko "A great show is now history, as is its insecure mobile app" στο Android App Watch της ESET.
___________________
- WiFi view the stored codes in Windows
- Pocket Drones for soldiers are being tested in Afghanistan
- Kodachi Linux 6.1 anti forensic anonymous operating