Знаменитое шоу Цирка дю Солей, Торук, которое прошло в последний раз прошлой ночью — 30 июня, было дополнено мобильным приложением, которое сделало мобильные устройства пользователей уязвимыми. Приложение под названием «ТОРУК — Первый полет» («TORUK – The First Flight») предоставило зрителям возможность участвовать в шоу с помощью аудиовизуальных эффектов, создаваемых на их мобильных устройствах.
«Похоже, что приложение TORUK не было разработано с учетом безопасности. В результате любой, кто был подключен к сети во время шоу, имел те же возможности администратора, что и операторы Цирка дю Солей», — объясняет Лукаш Штефанко, исследователь технологий безопасности компании ESET, который анализировал приложение.
Приложение «ТОРУК — Первый полет» был установлен более 100 000 раз на Goggle Play; также доступна его версия для iOS. С окончанием показа шоу ТОРУК приложение больше не продается, и сотрудники Цирка дю Солей заявили, что удалят его из официальных магазинов приложений для Android и Apple.
Цирк дю Солей рекламирует приложение «ТОРУК – Первый полет» на своем веб-сайте.
Когда приложение работает, оно открывает локальный порт, чтобы можно было удаленно изменять настройки громкости, обнаруживать близлежащие устройства с Bluetooth, если Bluetooth включен, отображать анимацию, устанавливать положение кнопки Facebook «Нравится» на устройстве, читать или писать в общих настройках, которые доступны для приложения.
«Проблема в том, что в приложении нет протокола аутентификации. Любой злоумышленник может сканировать сеть и получать IP-адреса устройств с определенным открытым портом — портом 6161 — и отправлять команды на все устройства, на которых запущено приложение», — объясняет Штефанко.
По мнению Штефанко, сделать приложение устойчивым к такого рода атакам было бы просто. «Если бы приложение генерировало уникальный ключ для каждого устройства, то было бы невозможно получить массовый доступ ко всем устройствам без какой-либо аутентификации».
После выступления все устройства с этим приложением остаются уязвимыми, поэтому его пользователи могут столкнуться с неприятными сюрпризами в любой момент в будущем, если они подключатся к общедоступной сети.
«Те, кто установил это приложение, должны немедленно удалить его. Кстати, мы настоятельно рекомендуем делать это со всеми приложениями одноцелевого назначения», — заключает Штефанко.
Более подробный анализ можно найти в блоге Лукаша Штефанко «Отличное шоу теперь стало историей, как и его небезопасное мобильное приложение» в ESET Android App Watch.
О компании ESET
В течение 30 лет компания ESET® занималась разработкой передового программного обеспечения и услуг в области ИТ-безопасности для предприятий и отдельных потребителей во всем мире. Благодаря техническим решениям начиная с безопасности компьютера и мобильных устройств и заканчивая криптографической защитой и двухуровневой авторизацией, высокопроизводительные и простые в использовании продукты ESET дают потребителям и предприятиям душевное спокойствие и возможность в полной мере использовать потенциал своих технологий. Компания ESET ненавязчиво защищает и ведет контроль круглосуточно, обновляя средства защиты в режиме реального времени, обеспечивая безопасность пользователей и бесперебойную работу предприятий. Все более продвинутые киберугрозы требуют внимания компании по информационной безопасности, которая также постоянно развивается. При поддержке центров исследований и разработок по всему миру ESET стала первой среди компаний в области ИТ-безопасности, которая получила 100 наград VB100 от независимого эксперта Virus Bulletin, идентифицируя безперебойно каждое используемое вредоносное ПО с 2003г. Для более детальной информации посетите www.eset.com или следите за нашими новинками на LinkedIn, Facebook и Twitter.