2 июля 2019 304

Какой-то цирк. ESET нашла уязвимость в приложении Cirque du Soleil

ESET обнаружила уязвимость в официальном приложении известного циркового коллектива Cirque du Soleil.

Приложение «ТОРУК — Первый полет» (TORUK — The First Flight) позволяет синхронизировать аудиовизуальные эффекты со смартфонами зрителей, в зависимости от их расположения в зале.


Программа была загружена в Google Play и AppStore накануне мирового турне Cirque du Soleil. На текущий момент приложение успели скачать более 100 тысяч раз.

Приложение «ТОРУК — Первый полет» на официальном сайте Cirque du Soleil

Эксперты ESET обнаружили, что приложение не имеет протокола аутентификации — это позволяет злоумышленникам сканировать сеть, подключаться к локальному порту или порту 6161, получать IP-адреса и посылать команды на устройства пользователей.

Во время работы приложение открывает доступные локальные порты, что позволяет удаленно менять звуковые настройки, подключаться к устройству через Bluetooth, запускать анимацию, ставить лайки на Facebook, читать и изменять настройки приложения.


«Вероятно, вопросы безопасности не были в приоритете при разработке приложения Cirque du Soleil, — считает эксперт ESET Лукас Стефанко. — Доступ ко всем гаджетам без авторизации был бы невозможен, если бы приложение создавало уникальный токен для аутентификации каждого устройства».


После завершения турне приложение будет деактивировано для пользователей и удалено из Google Play и AppStore. Однако ESET предупреждает, что это не гарантирует безопасность устройств, особенно при подключении к общественным сетям.


«Всем, кто установил приложение, следует незамедлительно удалить его, — рекомендует Лукас Стефанко. — Мы советуем следовать этому совету и в отношении других одноцелевых приложений».

Комментарии

0
Оставьте комментарий!