ESET ευπάθεια σε εφαρμογή του Cirque du Soleil για κινητά

Η παράσταση “TORUK” του διάσημου Cirque du Soleil χρησιμοποιούσε για διαφημιστικούς λόγους μία εφαρμογή, που καθιστούσε τα κινητά των χρηστών ευάλωτα. Η εφαρμογή, που ονομαζόταν “TORUK – The First Flight”, είχε σχεδιαστεί για να δίνει σε χρήστες iOS και Android τη δυνατότητα να συμμετέχουν στην παράσταση μέσω συγχρονισμένων οπτικοακουστικών εφέ που δημιουργούνταν στα κινητά τους.

“Φαίνεται ότι κατά το σχεδιασμό της εφαρμογής TORUK δεν είχε ληφθεί υπόψη ο παράγοντας της ασφάλειας. Ως αποτέλεσμα, όποιος συνδεόταν στο δίκτυο κατά τη διάρκεια της παράστασης είχε τις ίδιες δυνατότητες διαχείρισης με τους διαχειριστές του Cirque du Soleil”, εξηγεί ο ερευνητής της ESET Lukáš Štefanko, που ανέλυσε την εφαρμογή.

Cirque du Soleil

Η εφαρμογή “TORUK – The First Flight” έχει πάνω από 100.000 λήψεις στο Google Play, ενώ υπάρχει και μια έκδοση για iOS.

Με την ολοκλήρωση των παραστάσεων “TORUK”, η εφαρμογή σταμάτησε να είναι διαθέσιμη και οι υπεύθυνοι του Cirque du Soleil δήλωσαν ότι θα την αποσύρουν από τα επίσημα καταστήματα εφαρμογών για συσκευές Android και Apple.

Η προώθηση της εφαρμογής «TORUK – The First Flight» στην ιστοσελίδα του Cirque du Soleil

Όταν χρησιμοποιείται αυτή η εφαρμογή, ανοίγει μια τοπική θύρα ώστε να είναι δυνατή η απομακρυσμένη αλλαγή των ρυθμίσεων έντασης ήχου, ο εντοπισμός κοντινών συσκευών Bluetooth (αν είναι ενεργοποιημένη η λειτουργία Bluetooth), η εμφάνιση animation, η ρύθμιση του κουμπιού “Like” για το Facebook καθώς και η συμμετοχή σε κοινόχρηστες προτιμήσεις που είναι προσβάσιμες στην εφαρμογή.

“Το πρόβλημα είναι ότι η εφαρμογή δεν διαθέτει πρωτόκολλο ελέγχου ταυτότητας. Ένας επιτήδειος μπορεί να σαρώσει το δίκτυο, να συλλέξει τις διευθύνσεις IP των συσκευών εφόσον η συγκεκριμένη θύρα είναι ανοικτή (θύρα 6161) και να στείλει εντολές σε όλες τις συσκευές που χρησιμοποιούν την εφαρμογή”, εξηγεί ο Štefanko.

Σύμφωνα με τον Štefanko, θα ήταν πολύ απλό να θωρακιστεί η ανθεκτικότητα της εφαρμογής απέναντι σε αυτό το είδος επίθεσης.

Αν η εφαρμογή δημιουργούσε ένα μοναδικό token για κάθε συσκευή, τότε θα ήταν αδύνατο κάποιος να αποκτήσει πρόσβαση σε όλες τις συσκευές μαζικά, χωρίς έλεγχο εξακρίβωσης ταυτότητας

Μετά την παράσταση, όλες οι συσκευές που έχουν εγκατεστημένη τη συγκεκριμένη εφαρμογή εξακολουθούν να είναι ευάλωτες, επομένως οι χρήστες κινδυνεύουν να αντιμετωπίσουν δυσάρεστες εκπλήξεις οποιαδήποτε στιγμή μελλοντικά, αν είναι συνδεδεμένοι σε δημόσιο δίκτυο.

“Οι χρήστες που έχουν εγκαταστήσει αυτήν την εφαρμογή πρέπει να την απεγκαταστήσουν αμέσως. Παρεμπιπτόντως, συνιστούμε να το κάνουν αυτό με όλες τις εφαρμογές που έχουν σχεδιαστεί για μία συγκεκριμένη χρήση”, καταλήγει ο Štefanko.

Περισσότερες πληροφορίες βρίσκονται στο σχετικό blogpost του Lukáš Štefanko “A great show is now history, as is its insecure mobile app” στο Android App Watch της ESET.

___________________

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by newsbot

Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω ... γιατί καμιά φορά κρύβονται οι συντάκτες.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).