30.juunil oli lõpuetendus kuulsal Cirque du Soleili etendusel Toruk, mida täiustati kasutajate jaoks haavatava mobiilirakendusega. Rakenduse nimi on “TORUK – Esimene Lend” ja see andis publikule võimaluse näha oma mobiilseadmetes audiovisuaalseid efekte.
„Näib, et TORUK’i rakendus ei ole pidanud silmas turvalisust. Selle tulemusena omas igaüks, kes oli etenduse ajal võrguga ühendatud, samasuguseid administraatoriõigusi nagu Cirque du Soleil’i operaatoritel,” selgitab rakendust analüüsinud ESET’i turvateadlane Lukáš Štefanko.
Rakendusel “TORUK – Esimene Lend” on Google Play’is üle 100 000 allalaadimise ja on olemas ka iOS-i versioon. TORUK’i etenduse lõppedes ei hakata rakendust enam turustama. Cirque du Soleili töötajad ütlesid, et nad võtaksid rakenduse maha ka Androidi ja Apple’i ametlikest rakenduste kauplustest.
Cirque du Soleil tutvustas oma kodulehel rakendust „TORUK – Esimene Lend”
Kui rakendus töötab, avab see kohaliku pordi nii, et on võimalik kaugjuhtimise teel muuta helitugevuse sätteid, avastada läheduses asuvaid Bluetooth-seadmeid, kui Bluetooth on sisse lülitatud, kuvada animatsioone, muuta seadmes asuva Facebooki „Like” nupu asukohta ja lugeda või kirjutada jagatud eelistustele, millele on tekitatud ligipääs rakenduse kaudu.
„Probleem on selles, et rakendusel puudub autentimisprotokoll. Häkker saab võrku skannida, võib saada teada seadmete IP-aadressid kindlaksmääratud porti 6161 kaudu ning saata käsklusi kõikidele rakendust kasutatavatele seadmetele,” selgitab Štefanko.
Štefanko sõnul oleks olnud lihtne teha rakendus selliste rünnakute eest kaitstuks. „Kui rakendus oleks genereerinud iga seadme jaoks unikaalse märgi (token), siis oleks olnud võimatu kõikidele seadmetele massiliselt ilma autentimiseta ligi pääseda,”
Pärast etendust jäävad kõik seda rakendust seadmes omavad kasutajad siiski haavatavaks ja võivad kogeda tulevikus mingil hetkel ebameeldivaid üllatusi, kui ühendavad end avalikku võrku.
„Need, kes selle rakenduse alla laadisid, peaksid selle kohe eemaldama. Muide, me soovitame seda teha kõigi ühekordse otstarbega rakendustega, ” võtab Štefanko jutu kokku.
Üksikasjalikuma analüüsi saamiseks lugege ESET Android App Watch’is Lukáš Štefanko blogipostitust “Võimas show on nüüd ajalugu, nagu ka selle ebaturvaline mobiilirakendus”.
ESETi kohta
ESET® on 30 aastat arendanud tööstust juhtivaid IT- turvatarkvara ja -teenuseid ettevõtetele ja kasutajatele üle kogu maailma. Lahendustega, mis ulatuvad lõpp-punktist ja mobiilsest turvalisusest kuni krüpteerimiseni ja kahekordse autentimiseni, annavad ESET’i lihtsasti kasutatavad tooted tarbijatele ja ettevõtetele võimaluse meelerahus nautida oma tehnoloogia täielikku potentsiaali. ESET pakub märkamatult ööpäevaringset kaitset ja jälgimist, uuendades kaitset reaalajas , et hoida kasutajaid ja ettevõtteid kaitstuna. Arenevad ohud nõuavad arenevat IT-turvafirmat. Teadus- ja arenduskeskuste toetusel kogu maailmas on ESET’ist saanud esimene IT-turvafirma, mis teenis auhinna 100 Virus Bulletin VB100 , saades jälile igale “metsikule” pahavarale 2003. aastast alates katkematult. Lisainfo saamiseks külastage www.eset.com või jälgige meid LinkedIn, Facebook ja Twitter keskkondades.
Jaga artiklit