מאות אלפים הורידו את אפליקציית Cirque de Soleil שחשפה הנייד להתקפות

דף הבית >> לגיקים >> חדשות עולם האפליקציות >> מאות אלפים הורידו את אפליקציית Cirque de Soleil שחשפה הנייד להתקפות
מאות אלפים הורידו את אפליקציית Cirque de Soleil החושפת את הסמארטפון להתקפות
מאת: מערכת Telecom News, 1.7.19, 18:10CYBER FREE

נחשפה פגיעות באפליקציית המופע המפורסם של Cirque de Soleil. האפליקציה הייעודית למופע, שהותקנה באמצעות Google Play ע"י יותר מ-100,000 איש, הפכה את הסמארטפונים של המשתמשים בה לפגיעים. על כל מי שהוריד אותה להסירה בהקדם האפשרי. 
 
המופע המפורסם של Cirque de Soleil - Toruk הגיע לסיומו והחוקרים של ESET מצאו, שהאפליקציה הייעודית למופע הפכה את הסמארטפונים של המשתמשים בה לפגיעים.
 
היישום, שנקרא “TORUK - The First Flight”, אפשר לקהל להיות חלק מההצגה באמצעות אפקטים אורקוליים, שנוצרו על המכשירים הניידים שלהם.
 
את האפליקציה התקינו יותר מ-100,000 איש באמצעות Google play וישנה גם גרסה ל-iOS. עם סיום המופע, לא משווקים עוד את האפליקציה והנהלת המופע מציינת, שהיא תסיר אותה מחנויות האפליקציות.
 
תמונת האפליקציה “TORUK - The First Flight”:
 
ESET
 
כאשר האפליקציה רצה, היא פותחת גישה מרחוק לשליטה על הגדרות עוצמת השמע במכשיר ולגילוי מכשירים במידה והבלוטוס (Bluetooth) דלוק. בנוסף ניתן גם להציג אנימציות ולגשת למידע כמו העדפות אישיות אשר נמצאות במכשיר.
 
לאפליקציה אין פרוטוקול אימות ולכן כל תוקף יכול לסרוק את הרשת ולקבל את כתובת ה-IP של המכשירים דרך ה-port המוגדר תמיד 6161, וכך לשלוח פקודות לכל המכשירים המפעילים את האפליקציה.
 
לאחר סיום המופע, כל המכשירים בהם הורידו את האפליקציה, נשארו פגיעים .כך ,שהמשתמשים עלולים לחוות הפתעות בלתי צפויות כאשר הם יתחברו לרשתות ציבוריות.
 
לוקאש סטפנקו, מהחוקרים של חברת אבטחת המידע ESET:  "עושה רושם, שהאפליקציה נבנתה מבלי לחשוב על אבטחת מידע ולמעשה כל מי שהיה מחובר לרשת היה בעל אותה גישה למערכת ממש כמו המפעילים של המופע.
 
להפוך את האפליקציה הזו לחסינה כנגד התקפות כאלו לא היה צריך להיות מסובך מדי וכל מה שהיה צריך הוא רק לספק מעין מזהה ייחודי לכל מכשיר. כך ,שזה יהיה בלתי אפשרי לגשת לכל המכשירים יחדיו מבלי לספק אישור כלשהו.
 
אני ממליץ, שכל מי שהוריד את האפליקציה יסירה בהקדם האפשרי, וכך גם מומלץ לעשות לכל אפליקציה, שהורדה עבור מטרה אחת איתה כבר סיימתם".
 
 
NORDVPN



 
 
Bookmark and Share