Eset виявила вразливість у TORUK – The First Flight, офіційному додатку Cirque du Soleil

Антивірусна компанія Eset виявила вразливість в офіційному додатку відомого циркового колективу Cirque du Soleil.

Додаток «ТОРУК – Перший політ» (TORUK – The First Flight) дозволяє синхронізувати аудіовізуальні ефекти зі смартфонами глядачів, залежно від їхнього розташування в залі.

Програма була завантажена в Google Play та Appstore напередодні світового турне Cirque du Soleil. На даний момент додаток встигли завантажити понад 100 тис. разів.

Експерти Eset виявили, що програма не має протоколу аутентифікації — це дозволяє зловмисникам сканувати мережу, підключатися до локального порту або порту 6161, отримувати IP-адреси і надсилати команди на пристрої користувачів.

Під час роботи Програма відкриває доступні локальні порти, що дозволяє віддалено змінювати звукові налаштування, підключатися до пристрою через Bluetooth, запускати анімацію, ставити лайки на Facebook, читати та змінювати налаштування програми.

«Ймовірно, питання безпеки не були пріоритетними при розробці програми Cirque du Soleil, — сказав експерт Eset. Доступ до всіх гаджетів без авторизації був би неможливим, якби програма створювала унікальний токен для автентифікації кожного пристрою».

Після завершення турне програма буде деактивована для користувачів і видалена з Google Play та Appstore. Однак Eset попереджає, що це не гарантує безпеки пристроїв, особливо при підключенні до громадських мереж.

«Усім, хто встановив додаток, слід негайно видалити його, - сказав експерт Eset. - Ми радимо дотримуватися цієї поради щодо інших одноцільових додатків».

Інші новини