Anzeige

Cirque du Soleil

Quelle: Kobby Dagan / Shutterstock.com

Die Sammelwut von Apps auf Smartphones und Tablets entwickelt sich immer mehr zum Sicherheitsrisiko, warnt der Security-Hersteller ESET. Insbesondere spezielle Apps, die für Veranstaltungen, Messen oder Promotions angeboten werden, erfüllen oftmals weder Sicherheitsstandards noch erhalten sie Updates.

Aktuell entdeckten die Malware-Jäger in der Applikation "TORUK" der berühmten Cirque du Soleil-Show eine gefährliche Sicherheitslücke. Die "TORUK"-App wurde über 100.000 Mal von Google Play heruntergeladen. Hacker können darüber auf fremde Geräte zugreifen und dort beliebige Skripte oder Befehle ausführen.

Gute gemeint aber schlecht abgesichert

Zur Steigerung des Erlebnisses entwickelten die Macher hinter Cirque du Soleil die App "TORUK - The First Flight". Diese ermöglichte es dem Publikum, über audiovisuelle Effekte, die auf den mobilen Geräten der Besucher erzeugt wurden, Teil der Show zu sein.

"Es scheint, dass die "TORUK"-App nicht mit Blick auf die Sicherheit entwickelt wurde. Damit hatte jeder, der während der Veranstaltung die App nutzte, die gleichen Zugriffsmöglichkeiten wie die Betreiber des Cirque du Soleil", erklärt Lukás Stefanko, ESET-Sicherheitsforscher, der die App analysiert hat.

Wenn diese App ausgeführt wird, öffnet sie einen lokalen Port. Damit kann der Veranstalter Geräte mit eingeschaltetem Bluetooth lokalisieren und dann Änderungen vornehmen: die Lautstärke verändern, Animationen anzeigen, die Position der Facebook-Taste "Like" auf dem Gerät einstellen und vieles mehr. Das geht weit über die normalen Einstellungen hinaus, die Apps normalerweise benötigen.

"Das Problem ist, dass die App kein Authentifizierungsprotokoll hat. Ein Angreifer kann so problemlos das Netzwerk scannen, die IP-Adressen von Geräten erhalten, die den definierten Port 6161 geöffnet haben, sowie Befehle an alle Geräte senden, die die App ausführen", erklärt Stefanko.

Laut dem ESET-Sicherheitsexperten wäre es einfach gewesen, die App gegen diese Art von Angriff sicher zu machen. "Wenn die App für jedes Gerät einen eindeutigen Token erzeugen würde, dann wäre es unmöglich, ohne Authentifizierung massenhaft auf alle Geräte zuzugreifen." Nach der Show bleiben so alle Geräte, auf denen diese App installiert ist, verwundbar. Nutzer könnten so auch lange nach der Show noch eine unangenehme Überraschung erleben, wenn sie an ein öffentliches Netz angeschlossen sind.

"Diejenigen, die diese App installiert haben, sollten sie sofort deinstallieren. Zudem empfehlen wir dringend, dies mit allen Apps zu tun, die lediglich für ein einmaliges Ereignis, wie eine Veranstaltung, installiert werden", so Stefanko abschließend.

Sicherheitslücke drei Jahre lang unentdeckt

Die "TORUK"-App wurde über 100.000 Mal von Google Play heruntergeladen - und das, obwohl sie seit 2016 nicht mehr aktualisiert wurde. ESET informierte Cirque du Soleil und den Entwickler der App über die Sicherheitsprobleme. Auf die Hinweise im März und Mai 2019 erhielt ESET jedoch keine Rückmeldung und entschloss sich daher zur Veröffentlichung nach Beendigung der Show.

Apps wie "TORUK" gelten generell als Sicherheitsrisiko. Sie haben nur eine begrenzte Einsatzdauer und werden daher nicht weiter gepflegt - verbleiben aber dennoch auf den meisten Geräten der Nutzer. Viel zu selten werden nicht mehr benötigte oder nicht mehr aktualisierte Apps gelöscht. Ob solche Programme einen ideologischen Wert für den Besitzer haben oder schlicht in der Masse untergehen: Sie sind das El Dorado für Hacker.

Drei Tipps für Ihre Sicherheit:

  • Löschen Sie Apps, die nur für bestimmte Zwecke entwickelt werden (z.B. für Veranstaltungen, Konzerte oder Promotions), direkt nach deren Ende
     
  • Löschen Sie generell Apps, die Sie nicht mehr nutzen oder für die längere Zeit weder Updates noch neue Programmversionen herausgegeben wurden
     
  • Installieren Sie auf ihrem Mobilgerät eine Antivirenlösung. Neben einem zuverlässigen Schutz vor Malware und anderen Bedrohungen, sind Sicherheitslösungen empfehlenswert, die zudem Funktionen wie einen Diebstahl-Schutz beinhalten.

Weitere Informationen und Hintergründe finden Sie auf dem englischsprachigen ESET-Blog "Android App Watch": https://androidappwatch.eset.com/latest-posts/a-great-show-is-now-history-as-is-its-insecure-mobile-app/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Passwort Router

Die Top-10 der unsicheren Router-Passwörter

Ob öffentliches WLAN in einer Bar oder privates Funknetz in den eigenen vier Wänden: Router sind die Torwächter ins Netzwerk. Häufig setzen diese wichtigen Geräte beim Schutz vor unerlaubtem Zugriff lediglich auf ein Passwort, um auf die…
Mobile Security

Mobile Security im eigenen Unternehmen

Immer häufiger stellen Unternehmen einen Großteil ihrer IT-Landschaft auf mobile Endgeräte wie Tablets und Smartphones um. Um die Sicherheit interner Informationen zu gewährleisten, kommen viele Faktoren zum Tragen.
Contact-Tracing

Digitales Contact-Tracing: Vor- und Nachteile

Regierungen weltweit sehen sich mit einer weiterhin eskalierenden Krise konfrontiert und erarbeiten Pläne für das Pandemiemanagement. Dabei spielen auch die Vorteile digitaler Überwachungsnetze eine Rolle. 5G-Netze und schnellere Mobilfunkgeschwindigkeiten…
Netzwerk

ISPs unter Zugzwang

Seit den ersten Mobiltelefonen versprachen Mobilfunknetze die durchgehende Konnektivität. Aber die Realität sieht so aus, dass es immer noch Orte ohne Mobilfunknetzabdeckung gibt, und noch mehr Orte wie Wohnungen und Büros, an denen WLAN sinnvoller ist.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!