Η παράσταση «TORUK» του διάσημου Cirque du Soleil χρησιμοποιούσε για διαφημιστικούς λόγους μία εφαρμογή, που καθιστούσε τα κινητά των χρηστών ευάλωτα. Η εφαρμογή, που ονομαζόταν «TORUK – The First Flight», είχε σχεδιαστεί για να δίνει σε χρήστες iOS και Android τη δυνατότητα να συμμετέχουν στην παράσταση μέσω συγχρονισμένων οπτικοακουστικών εφέ που δημιουργούνταν στα κινητά τους.
«Φαίνεται ότι κατά το σχεδιασμό της εφαρμογής «TORUK» δεν είχε ληφθεί υπόψη ο παράγοντας της ασφάλειας. Ως αποτέλεσμα, όποιος συνδεόταν στο δίκτυο κατά τη διάρκεια της παράστασης είχε τις ίδιες δυνατότητες διαχείρισης με τους διαχειριστές του Cirque du Soleil», εξηγεί ο ερευνητής της ESET Lukáš Štefanko, που ανέλυσε την εφαρμογή.
Η εφαρμογή «TORUK – The First Flight» έχει πάνω από 100.000 λήψεις στο Google Play, ενώ υπάρχει και μια έκδοση για iOS. Με την ολοκλήρωση των παραστάσεων «TORUK», η εφαρμογή σταμάτησε να είναι διαθέσιμη και οι υπεύθυνοι του Cirque du Soleil δήλωσαν ότι θα την αποσύρουν από τα επίσημα καταστήματα εφαρμογών για συσκευές Android και Apple.
Όταν χρησιμοποιείται αυτή η εφαρμογή, ανοίγει μια τοπική θύρα ώστε να είναι δυνατή η απομακρυσμένη αλλαγή των ρυθμίσεων έντασης ήχου, ο εντοπισμός κοντινών συσκευών Bluetooth (αν είναι ενεργοποιημένη η λειτουργία Bluetooth), η εμφάνιση animation, η ρύθμιση του κουμπιού «Like» για το Facebook καθώς και η συμμετοχή σε κοινόχρηστες προτιμήσεις που είναι προσβάσιμες στην εφαρμογή.
«Το πρόβλημα είναι ότι η εφαρμογή δεν διαθέτει πρωτόκολλο ελέγχου ταυτότητας. Ένας επιτήδειος μπορεί να σαρώσει το δίκτυο, να συλλέξει τις διευθύνσεις IP των συσκευών εφόσον η συγκεκριμένη θύρα είναι ανοικτή (θύρα 6161) και να στείλει εντολές σε όλες τις συσκευές που χρησιμοποιούν την εφαρμογή», εξηγεί ο Štefanko.
Σύμφωνα με τον Štefanko, θα ήταν πολύ απλό να θωρακιστεί η ανθεκτικότητα της εφαρμογής απέναντι σε αυτό το είδος επίθεσης. «Αν η εφαρμογή δημιουργούσε ένα μοναδικό token για κάθε συσκευή, τότε θα ήταν αδύνατο κάποιος να αποκτήσει πρόσβαση σε όλες τις συσκευές μαζικά, χωρίς έλεγχο εξακρίβωσης ταυτότητας»
Μετά την παράσταση, όλες οι συσκευές που έχουν εγκατεστημένη τη συγκεκριμένη εφαρμογή εξακολουθούν να είναι ευάλωτες, επομένως οι χρήστες κινδυνεύουν να αντιμετωπίσουν δυσάρεστες εκπλήξεις οποιαδήποτε στιγμή μελλοντικά, αν είναι συνδεδεμένοι σε δημόσιο δίκτυο.
«Οι χρήστες που έχουν εγκαταστήσει αυτήν την εφαρμογή πρέπει να την απεγκαταστήσουν αμέσως. Παρεμπιπτόντως, συνιστούμε να το κάνουν αυτό με όλες τις εφαρμογές που έχουν σχεδιαστεί για μία συγκεκριμένη χρήση», καταλήγει ο Štefanko.
Περισσότερες πληροφορίες βρίσκονται στο σχετικό blogpost του Lukáš Štefanko «A great show is now history, as is its insecure mobile app» στο Android App Watch της ESET.