ESET descobre vulnerabilidade em App do Cirque Du Soleil - Wintech

O famoso espetáculo do Cirque du Soleil, o TORUK, cujo desempenho final aconteceu no passado dia 30 de junho, foi aprimorado com uma aplicação móvel que tornou os dispositivos móveis dos utilizadores vulneráveis a ataques. A aplicação, chamada “TORUK - The First Flight”, permitia ao público fazer parte do espetáculo, através de efeitos audiovisuais gerados pelos seus dispositivos móveis. 

“Parece que a aplicação TORUK não foi concebida a pensar na segurança. Como resultado, qualquer pessoa que estivesse ligada à rede durante o show tinha as mesmas capacidades de administração que responsáveis do Cirque du Soleil”, explica Lukáš Štefanko, investigador de segurança da ESET que analisou a aplicação.

A aplicação “TORUK - The First Flight” tem mais de 100.000 downloads no Goggle Play e tem também uma versão para iOS. Com o fim do espetáculo TORUK, a app deixou de ser comercializada, e a equipa do Cirque du Soleil disse que iria retirá-la das lojas de aplicações oficiais de Android e Apple.

 

Cirque du Soleil promoveu a app “TORUK – The First Flight” no seu site 

Quando em execução, a app abre a porta local e torna possível a alteração de forma remota das configurações de volume, descobrir dispositivos Bluetooth próximos, que tenham o Bluetooth ativo, exibir animações, definir a posição do botão “Gosto” do Facebook no dispositivo e definir as preferências partilhadas que são acessíveis à aplicação.

“O problema é que a app não possui protocolo de autenticação. Qual quer pessoa pode entrar na rede e obter os endereços IP dos dispositivos com a porta definida aberta - porta 6161 - e enviar comandos para todos os dispositivos que executam a aplicação”, explica Štefanko. De acordo com Štefanko, tornar a aplicação resistente contra este tipo de ataques teria sido simples. “Se a aplicação gerasse um token exclusivo para cada dispositivo, seria impossível aceder a todos os dispositivos em massa, sem alguma autenticação”.

Depois do espetáculo, todos os dispositivos com esta app instalada permanecem vulneráveis, e continua a ser possível que, a qualquer momento, os seus utilizadores possam ter surpresas desagradáveis, quando ligados a uma rede pública. “Aqueles que instalaram esta app devem desinstalá-la o quanto antes. Aliás, é altamente recomendável fazer isso com todas as apps com uma única finalidade”, conclui Štefanko. Para uma análise mais detalhada, leia o post de Lukáš Štefanko “Um grande espetáculo agora é história, assim como a sua app móvel insegura” no ESET Android App Watch.

Classifique este item
(0 votos)
Ler 218 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top