Cirque du Soleil App weist gefährliche Schwachstelle auf

Cirque du Soleil App weist gefährliche Schwachstelle auf

Die Show „Toruk“ des Cirque du Soleil hat jüngst seine letzte Vorstellung gehabt. Zwischen 2018 und 2019 war sie auch in Berlin, Hamburg, München, Köln und Oberhausen zu Gast. Obwohl sie nicht mehr stattfindet, ist die Begleit-App allein im Play Store zuvor über 100.000 Mal heruntergeladen worden. Diese App ermöglicht jedoch aufgrund eines fehlenden Authentifizierungs-Protokolls direkten Zugriff auf das Smartphone und sollte daher rasch gelöscht werden.
Fehlerhafte App mit unheimlichen Folgen
Der Spiegel berichtet von der Problematik mit der App, auf die die IT-Sicherheitsexperten von ESET hingewiesen haben. Die Firma zeigt klare Lücken bei der Sicherheit der App auf.
It appears that the TORUK app wasn’t designed with security in mind. As a result, anyone who was connected to the network during the show had the same admin possibilities as the Cirque du Soleil operator,
meint Analyst Lukáš Štefanko, der die App für ESET untersuchte. Die App sollte aus dem App Store und dem Play Store entfernt werden, so die Mitarbeiter des Cirque du Soleil; die Show selbst ist nun vorbei und eine Vermarktung der App hatte dementsprechend nicht mehr stattgefunden. Allerdings kann die App für User, die sie installiert haben, unerwünschte Effekte haben. Denn ein fehlendes Authentifizierungs-Protokoll sorgt dafür, dass ein Port geöffnet wird, der Zugriff auf die IP-Adressen der vernetzten Geräte erlaubt. In der Folge können Befehle an diese Geräte, auf denen die App läuft, gesendet werden. So kann es sein, dass Animationen gezeigt werden, die Lautstärke verstellt oder der Like Button auf dem Gerät manipuliert wird.
[embedded content]
Those who installed this app should uninstall it immediately. By the way, we highly recommend doing that with all single-purpose apps,
ergänzt Lukáš Štefanko. In seinem Blogpost macht er die Problematik detailliert deutlich. ESET hatte die Verantwortlichen schon vor Monaten informiert und keine Rückmeldung erhalten, heißt es im Spiegel. Man habe daher nach Beendigung der Show auf den Mangel hingewiesen, jedoch nicht früher, um der Show selbst nicht zu schaden.
Wenn du also die App „TORUK – The First Flight“ noch installiert haben solltest, lösche diese am besten unmittelbar. Und überlege, ob du ähnliche Apps zu einmaligen Veranstaltungen nicht auch entfernen kannst. Das minimiert das Risiko eines Datenmissbrauchs, wenngleich dieses auch bei dauerhaft genutzten Apps latent ist.