הולכים על חבל דק: נחשפה פירצה באפליקציית המופע של Cirque de Soleil

המופע המפורסם של Cirque de Soleil – Toruk הגיע לסיומו והחוקרים של ESET מצאו כי האפליקציה הייעודית למופע, הפכה את המכשירים הניידים של המשתמשים בה לפגיעים.

היישום שנקרא “TORUK – The First Flight”, אפשר לקהל להיות חלק מההצגה באמצעות אפקטים אורקוליים שנוצרו על המכשירים הניידים שלהם.

לוקאש סטפנקו, מהחוקרים של חברת אבטחת המידע ESET, מציין כי עושה רושם שהאפליקציה נבנתה מבלי לחשוב על אבטחת מידע ולמעשה כל מי שהיה מחובר לרשת היה בעל אותה גישה למערכת ממש כמו המפעילים של המופע.

את האפליקציה התקינו יותר מ-100,000 איש באמצעות Google play וישנה גם גרסה ל-iOS. עם סיום המופע, לא משווקים עוד את האפליקציה והנהלת המופע מציינת כי תסיר אותה מחנויות האפליקציות.

האפליקציה “TORUK – The First Flight”

כאשר האפליקציה רצה, היא פותחת גישה מרחוק לשליטה על הגדרות עוצמת השמע במכשיר ולגילוי מכשירים במידה והבלוטוס (Bluetooth) דלוק. בנוסף ניתן גם להציג אנימציות ולגשת למידע כמו העדפות אישיות אשר נמצאות במכשיר.

לאפליקציה אין פרוטוקול אימות ולכן כל תוקף יכול לסרוק את הרשת ולקבל את כתובת ה-IP של המכשירים דרך ה-port המוגדר תמיד 6161, וכך לשלוח פקודות לכל המכשירים המפעילים את האפליקציה.

סטפנקו מוסיף כי "להפוך את האפליקציה הזו לחסינה כנגד התקפות שכאלה לא היה צריך להיות מסובך מדי וכל מה שהיה צריך הוא רק לספק מעין מזהה ייחודי לכל מכשיר כך שזה יהיה בלתי אפשרי לגשת לכל המכשירים יחדיו מבלי לספק אישור כלשהו".

לאחר סיום המופע, כל המכשירים בהם הורידו את האפליקציה נשארו פגיעים כך שהמשתמשים עלולים לחוות הפתעות בלתי צפויות כאשר הם יתחברו לרשתות ציבוריות.

המלצת החוקר היא שכל מי שהוריד את האפליקציה יסירה בהקדם האפשרי, כך גם מומלץ לעשות לכל אפליקציה שהורדה עבור מטרה אחת איתה כבר סיימתם.