O famoso espetáculo do Cirque du Soleil, o TORUK, cujo desempenho final aconteceu no passado dia 30 de junho, foi aprimorado com uma aplicação móvel que tornou os dispositivos móveis dos utilizadores vulneráveis a ataques. A aplicação, chamada “TORUK - The First Flight”, permitia ao público fazer parte do espetáculo, através de efeitos audiovisuais gerados pelos seus dispositivos móveis.
“Parece que a aplicação TORUK não foi concebida a pensar na segurança. Como resultado, qualquer pessoa que estivesse ligada à rede durante o show tinha as mesmas capacidades de administração que responsáveis do Cirque du Soleil”, explica Lukáš Štefanko, investigador de segurança da ESET que analisou a aplicação.
A aplicação “TORUK - The First Flight” tem mais de 100.000 downloads no Goggle Play e tem também uma versão para iOS. Com o fim do espetáculo TORUK, a app deixou de ser comercializada, e a equipa do Cirque du Soleil disse que iria retirá-la das lojas de aplicações oficiais de Android e Apple.
Cirque du Soleil promoveu a app “TORUK – The First Flight” no seu site
Quando em execução, a app abre a porta local e torna possível a alteração de forma remota das configurações de volume, descobrir dispositivos Bluetooth próximos, que tenham o Bluetooth ativo, exibir animações, definir a posição do botão “Gosto” do Facebook no dispositivo e definir as preferências partilhadas que são acessíveis à aplicação.
“O problema é que a app não possui protocolo de autenticação. Qual quer pessoa pode entrar na rede e obter os endereços IP dos dispositivos com a porta definida aberta - porta 6161 - e enviar comandos para todos os dispositivos que executam a aplicação”, explica Štefanko.
De acordo com Štefanko, tornar a aplicação resistente contra este tipo de ataques teria sido simples. “Se a aplicação gerasse um token exclusivo para cada dispositivo, seria impossível aceder a todos os dispositivos em massa, sem alguma autenticação”.
Depois do espetáculo, todos os dispositivos com esta app instalada permanecem vulneráveis, e continua a ser possível que, a qualquer momento, os seus utilizadores possam ter surpresas desagradáveis, quando ligados a uma rede pública.
“Aqueles que instalaram esta app devem desinstalá-la o quanto antes. Aliás, é altamente recomendável fazer isso com todas as apps com uma única finalidade”, conclui Štefanko.
Para uma análise mais detalhada, leia o post de Lukáš Štefanko “Um grande espetáculo agora é história, assim como a sua app móvel insegura” no ESET Android App Watch.