Anzeige

Cirque du Soleil

Quelle: Kobby Dagan / Shutterstock.com

Die Sammelwut von Apps auf Smartphones und Tablets entwickelt sich immer mehr zum Sicherheitsrisiko, warnt der Security-Hersteller ESET. Insbesondere spezielle Apps, die für Veranstaltungen, Messen oder Promotions angeboten werden, erfüllen oftmals weder Sicherheitsstandards noch erhalten sie Updates.

Aktuell entdeckten die Malware-Jäger in der Applikation "TORUK" der berühmten Cirque du Soleil-Show eine gefährliche Sicherheitslücke. Die "TORUK"-App wurde über 100.000 Mal von Google Play heruntergeladen. Hacker können darüber auf fremde Geräte zugreifen und dort beliebige Skripte oder Befehle ausführen.

Gute gemeint aber schlecht abgesichert

Zur Steigerung des Erlebnisses entwickelten die Macher hinter Cirque du Soleil die App "TORUK - The First Flight". Diese ermöglichte es dem Publikum, über audiovisuelle Effekte, die auf den mobilen Geräten der Besucher erzeugt wurden, Teil der Show zu sein.

"Es scheint, dass die "TORUK"-App nicht mit Blick auf die Sicherheit entwickelt wurde. Damit hatte jeder, der während der Veranstaltung die App nutzte, die gleichen Zugriffsmöglichkeiten wie die Betreiber des Cirque du Soleil", erklärt Lukás Stefanko, ESET-Sicherheitsforscher, der die App analysiert hat.

Wenn diese App ausgeführt wird, öffnet sie einen lokalen Port. Damit kann der Veranstalter Geräte mit eingeschaltetem Bluetooth lokalisieren und dann Änderungen vornehmen: die Lautstärke verändern, Animationen anzeigen, die Position der Facebook-Taste "Like" auf dem Gerät einstellen und vieles mehr. Das geht weit über die normalen Einstellungen hinaus, die Apps normalerweise benötigen.

"Das Problem ist, dass die App kein Authentifizierungsprotokoll hat. Ein Angreifer kann so problemlos das Netzwerk scannen, die IP-Adressen von Geräten erhalten, die den definierten Port 6161 geöffnet haben, sowie Befehle an alle Geräte senden, die die App ausführen", erklärt Stefanko.

Laut dem ESET-Sicherheitsexperten wäre es einfach gewesen, die App gegen diese Art von Angriff sicher zu machen. "Wenn die App für jedes Gerät einen eindeutigen Token erzeugen würde, dann wäre es unmöglich, ohne Authentifizierung massenhaft auf alle Geräte zuzugreifen." Nach der Show bleiben so alle Geräte, auf denen diese App installiert ist, verwundbar. Nutzer könnten so auch lange nach der Show noch eine unangenehme Überraschung erleben, wenn sie an ein öffentliches Netz angeschlossen sind.

"Diejenigen, die diese App installiert haben, sollten sie sofort deinstallieren. Zudem empfehlen wir dringend, dies mit allen Apps zu tun, die lediglich für ein einmaliges Ereignis, wie eine Veranstaltung, installiert werden", so Stefanko abschließend.

Sicherheitslücke drei Jahre lang unentdeckt

Die "TORUK"-App wurde über 100.000 Mal von Google Play heruntergeladen - und das, obwohl sie seit 2016 nicht mehr aktualisiert wurde. ESET informierte Cirque du Soleil und den Entwickler der App über die Sicherheitsprobleme. Auf die Hinweise im März und Mai 2019 erhielt ESET jedoch keine Rückmeldung und entschloss sich daher zur Veröffentlichung nach Beendigung der Show.

Apps wie "TORUK" gelten generell als Sicherheitsrisiko. Sie haben nur eine begrenzte Einsatzdauer und werden daher nicht weiter gepflegt - verbleiben aber dennoch auf den meisten Geräten der Nutzer. Viel zu selten werden nicht mehr benötigte oder nicht mehr aktualisierte Apps gelöscht. Ob solche Programme einen ideologischen Wert für den Besitzer haben oder schlicht in der Masse untergehen: Sie sind das El Dorado für Hacker.

Drei Tipps für Ihre Sicherheit:

  • Löschen Sie Apps, die nur für bestimmte Zwecke entwickelt werden (z.B. für Veranstaltungen, Konzerte oder Promotions), direkt nach deren Ende
     
  • Löschen Sie generell Apps, die Sie nicht mehr nutzen oder für die längere Zeit weder Updates noch neue Programmversionen herausgegeben wurden
     
  • Installieren Sie auf ihrem Mobilgerät eine Antivirenlösung. Neben einem zuverlässigen Schutz vor Malware und anderen Bedrohungen, sind Sicherheitslösungen empfehlenswert, die zudem Funktionen wie einen Diebstahl-Schutz beinhalten.

Weitere Informationen und Hintergründe finden Sie auf dem englischsprachigen ESET-Blog "Android App Watch": https://androidappwatch.eset.com/latest-posts/a-great-show-is-now-history-as-is-its-insecure-mobile-app/

www.eset.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Coronavirus

Malware in Android-Apps: Auf der Coronavirus-Themenwelle reiten

Seit Beginn der Krise haben auch Android-Entwickler begonnen, die erhöhte Aufmerksamkeit zu diesem Thema für Ihre Zwecke einzusetzen – leider nicht immer mit guten Absichten.
mobile security

Schwachstelle Smartphone? Mobiles Arbeiten ohne Risiko

Jeder zweite Mitarbeiter verwendet beim mobilen Arbeiten ein Smartphone oder Tablet. Die Mehrzahl greift dabei im Rahmen des Modells Bring Your Own Device (BOYD) auf private Geräte zurück. Denn lediglich jede fünfte Person wird vom Arbeitgeber mit einem…
Hacker Account

Social-Media-Accounts über Cookies gekapert

Kaspersky hat zwei neuartige Malware-Varianten für Android entdeckt, die sich über die Smartphones ihrer Opfer Zugriff auf die Accounts beliebter Sozialer Medien und Messenger-Dienste verschaffen können.
5G

5G – welche Gefahren drohen durch den Mobilfunkstandard?

Der neue Mobilfunkstandard 5G wurde eigentlich konzipiert, um sicherer als die Vorgänger 3G und 4G zu sein. Dennoch kann 5G eine enorme Bedrohung für die Sicherheit von Unternehmen darstellen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!