Entertainment für Angreifer: Cirque-du-Soleil-App zur Show Toruk fernsteuerbar
"Toruk – Der erste Flug" bot Zuschauern Akrobatik auf der Bühne. Die begleitende App enthält hingegen einige Fallstricke und sollte deinstalliert werden.
Die App zur Show "Toruk" bietet Angreifern einen Schleichweg.
(Bild: Cirque du Soleil / Facebook)
Wer die Show "Toruk – Der erste Flug" des Cirque du Soleil besucht und bei dieser Gelegenheit die App zur Veranstaltung auf seinem Smartphone oder Tablet (Android oder iOS) installiert hat, sollte diese zeitnah wieder entfernen. Dazu rät das Team hinter dem Projekt "Android App Watch" von Sicherheitssoftware-Hersteller ESET.
Im Rahmen einer Analyse der Anwendung entdeckte das Team eine Sicherheitslücke, welche Angreifern, die sich im selben Netzwerk wie ihr Opfer befinden, Zugriff auf bestimmte Gerätefunktionen verschafft. Eine vorherige Authentifizierung ist dafür nicht erforderlich.
Angriff nur bei laufender App möglich
Die Möglichkeiten eines Angriffs unterliegen allerdings starken Einschränkungen. Zum einen muss die App gerade laufen: Sie öffnet dabei stets denselben Port, über den der Angreifer dann Befehle an die App schicken kann. Und da die App speziell für die – vergangenen Monat letztmalig aufgeführte – Toruk-Show konzipiert wurde, besteht zur Nutzung eigentlich kein Anlass mehr.
Zum anderen können Angreifer laut Blogeintrag von "Android App Watch" auch keinen "ernsthaften Schaden" auf den Zielgeräten anrichten. Denn die App diente im Kontext eines "Toruk"-Besuchs laut ESET dazu, Besuchern zu ermöglichen, "über audiovisuelle Effekte, die auf den mobilen Geräten (...) erzeugt wurden, Teil der Show zu sein". Um die Effekte mit den Geräten zu synchronisieren, könne die App mittels im Rahmen der Installation vom Nutzer erteilten Berechtigungen den Standort bestimmen, die Lautstärkeeinstellungen verändern, Animationen anzeigen "und vieles mehr". Diese Möglichkeiten stünden nun auch Angreifern zur Verfügung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Verwaiste Event-Apps als generelles Risiko
Trotz dieser Einschränkungen empfiehlt sich die zeitnahe Entfernung der alleine aus Googles Play Store über 100.000-mal heruntergeladenen App von sämtlichen mobilen Geräten. ESET weist in einer den Blogeintrag begleitenden Pressemitteilung auch auf die generelle Gefahr von Apps hin, die zu bestimmten Anlässen installiert werden und, obwohl nicht mehr benötigt, auf vielen Geräten verbleiben. Diese können vor allem auch deshalb ein Risiko darstellen, weil sie nach den betreffenden Anlässen von ihren Entwicklern nicht mehr gepflegt und Sicherheitslücken dementsprechend nicht mehr gepatcht werden.
Bei Google Play und in Apples App Store ist die App mittlerweile nicht mehr verfügbar. (ovw)
