Спецпроекты

Eset обнаружила уязвимость в официальном приложении Cirque du Soleil

ПО Софт Безопасность Стратегия безопасности Пользователю

Антивирусная компания Eset обнаружила уязвимость в официальном приложении известного циркового коллектива Cirque du Soleil.

Приложение «ТОРУК – Первый полет» (TORUK – The First Flight) позволяет синхронизировать аудиовизуальные эффекты со смартфонами зрителей, в зависимости от их расположения в зале.

Программа была загружена в Google Play и Appstore накануне мирового турне Cirque du Soleil. На текущий момент приложение успели скачать более 100 тыс. раз.

Эксперты Eset обнаружили, что приложение не имеет протокола аутентификации — это позволяет злоумышленникам сканировать сеть, подключаться к локальному порту или порту 6161, получать IP-адреса и посылать команды на устройства пользователей.

Во время работы приложение открывает доступные локальные порты, что позволяет удаленно менять звуковые настройки, подключаться к устройству через Bluetooth, запускать анимацию, ставить лайки на Facebook, читать и изменять настройки приложения.

«Вероятно, вопросы безопасности не были в приоритете при разработке приложения Cirque du Soleil, — сказал эксперт Eset Лукас Стефанко. — Доступ ко всем гаджетам без авторизации был бы невозможен, если бы приложение создавало уникальный токен для аутентификации каждого устройства».

После завершения турне приложение будет деактивировано для пользователей и удалено из Google Play и Appstore. Однако Eset предупреждает, что это не гарантирует безопасность устройств, особенно при подключении к общественным сетям.

«Всем, кто установил приложение, следует незамедлительно удалить его, — сказал Лукас Стефанко. — Мы советуем следовать этому совету и в отношении других одноцелевых приложений».



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей