Уровень безопасности – цирковой

Исследователь компании ESET Лукаш Штефанко раскритиковал мобильное приложение Toruk, выпущенное знаменитой цирковой труппой Cirque du Soleil для мировых гастролей своего шоу «Торук – первый полет», поставленного по мотивам фильма «Аватар». Приложение служит для воспроизведения аудио и визуальных эффектов и, по мысли создателей, помогает зрителям полнее погрузиться в атмосферу шоу. Число его загрузок только в Google Play Store превышает 100 000, также приложение доступно для iOS.

Приложение Toruk было выпущено в 2016 году и с тех пор ни разу не обновлялось. Однако главная проблема даже не в этом, а в том, что при его создании не были учтены вопросы безопасности пользователей. Как установил Штефанко, в приложении просто отсутствуют протоколы аутентификации - в результате «любой человек, подключенный в ходе шоу к той же сети wi-fi, получает в приложении административный уровень доступа, аналогичный уровню операторов Cirque du Soleil», - указывает исследователь. По счастью, эксплуатация этой уязвимости не может причинить серьезного вреда: приложение может управлять только доступом к настройкам аудио и видео, а также поиском находящихся рядом Bluetooth-устройств. Тем не менее представители ESET считают вопиющим такое пренебрежение элементарными требованиями безопасности. Компания несколько раз обращалась к Cirque du Soleil, указывая на необходимость исправить ситуацию, но так и не получила ответа.

Стоит отметить, что в апреле-мае гастроли шоу «Торук – первый полет» прошли в Москве и Санкт-Петербурге. Финальное представление состоялось 30 июня в Лондоне. После этого Лукаш Штефанко счел, что он вправе опубликовать информацию о проблемах приложения, и призвал всех пользователей незамедлительно удалить его.

Источник: ZDNet