Antivirüs ve internet
güvenliği kuruluşu ESET, ünlü Cirque du Soleil’e ait mobil uygulamadaki riskli
bir güvenlik açığını ortaya çıkardı.
Telefonları kullanarak seyircileri gösterinin bir parçası
haline getirmeyi hedefleyen mobil uygulama, ağa bağlanan tüm cihazları
saldırılara açık hale getirdi.
Zaman zaman Türkiye’yi de ziyaret ederek, sıra dışı akrobasi
şovlarıyla seyircileri büyüleyen Cirque du Soleil, son gösterisiyle bu kez
siber güvenlik gündeminin bir parçası haline geldi. Ünlü sirkin ‘Toruk – The
First Flight’ isimli son gösterisi için özel bir mobil uygulama hazırlandı ve
bu mobil uygulama sayesinde cihazlar yoluyla oluşturulan görsel ve işitsel efektlerle
seyirciler, gösterinin bir parçası haline getirilmeye çalışıldı.
Ancak siber güvenlik kuruluşu ESET’e göre, Toruk uygulaması,
güvenlik düşünülerek tasarlanmamış. Uygulamayı mercek altına alan eset Güvenlik
Araştırmacısı Lukas Stefanko’ya göre “gösteri sırasında ağa bağlı olan herkes
Cirque du Soleil operatörleri ile aynı yönetici olanaklarına sahipti” tespitini
yaptı.
Telefonun yönetimi
başkasının eline geçebilir
Lukas Stefanko, tespitlerini şöyle sürdürdü: ”Uygulama
çalışırken bir yerel port açılır ve böylece uzaktan ses ayarlarını değiştirme,
Bluetooth açıksa yakındaki Bluetooth cihazlarını bulma, animasyon görüntüleme,
cihazdaki Facebook "Like" butonunun pozisyonunu belirleme ve
uygulamanın erişebildiği paylaşım ayarlarına ulaşma mümkün hale gelir. Sorun şu
ki, uygulamanın kimlik doğrulama protokolü bulunmuyor. Bir düşman, ağı
tarayabilir, tanımlanan bağlantı noktası açık olan cihazların IP adreslerini
alabilir ve uygulamayı çalıştıran tüm cihazlara komutlar gönderebilir.”
Lukas Stefanko'ya göre, uygulamayı bu tür saldırılara karşı
dirençli hale getirmek çok basit olurdu: “Uygulama her cihaz için benzersiz bir
token oluştursaydı, herhangi bir kimlik doğrulama aşaması olmadan topluca tüm
cihazlara erişmek imkansız olacaktı.”
‘Toruk – The First Flight’ uygulaması Google Play'den 100
bin kez indirilmiş görünüyor. Uygulamanın ayrıca iOS sürümü de var. Toruk
gösterisinin bitmesiyle, uygulamanın tanıtılması durduruldu ve Cirque du Soleil
çalışanları, uygulamayı hem Android'in hem de Apple'ın resmi uygulama
mağazalarından geri çekebileceklerini duyurdular.
Uygulama kaldırılmalı
“Gösteriden sonra, bu uygulamanın yüklü olduğu tüm cihazlar
savunmasız kalabilir. Bu nedenle kullanıcılar halka açık bir ağa bağlıysa
gelecekte herhangi bir noktada hoş olmayan sürprizlerle karşılaşabilirler”
tespitini yapan ESET Güvenlik Uzmanı, “Bu uygulamayı kuranlar derhal
kaldırmalıdır. Bu arada, bunu tüm tek amaçlı uygulamalar için yapmanızı
şiddetle tavsiye ederiz” açıklamasını yaptı.
