Toruk Cirque du Soleil

Depuis 35 ans, le Cirque du Soleil ravit jeunes et moins jeunes avec des spectacles tous plus ambitieux et époustouflants les uns que les autres. Son dernier show, Toruk inspiré du film Avatar, s’est terminé le 30 juin dernier. Pendant la représentation, les spectateurs avaient la possibilité de participer à l’expérience à l’aide d’une application nommée “TORUK – The First Flight“. Mais attention, car c’était application contenait certaines vulnérabilités présentant un risque pour les smartphones de utilisateurs.

Cette application innovante permettait aux spectateurs d’avoir une place de choix dans le spectacle avec des éléments venant enrichir le show.

Mais pour Lukas Stefanko, chercheur en sécurité de la société ESET,

Il semble que l’application n’ait pas été conçue dans un souci de sécurité. Par conséquent, quiconque était connecté au réseau pendant le spectacle avait les mêmes possibilités d’administration que les opérateurs du Cirque du Soleil.

Avouez que c’est assez gênant, d’autant plus que ce sont pas moins de 100 000 installations de l’application qui ont été comptabilisées sur Google Play et cela ne comptabilise pas les téléchargements de la version iOS ! Depuis la fin de la tournée de Toruk, l’application a été retirée de Google Play et de l’App Store.

toruk-application-cirque-du-soleil Une vulnérabilité découverte dans une application du Cirque du SoleilLes risques présentés par cette application

Les risques présentés par cette application sont relativement importants. En effet, lorsqu’elle est en cours d’exécution sur un téléphone elle ouvre un port local permettant de réaliser de nombreuses opérations à distance sur le téléphone : lire ou écrire dans les préférences auxquelles l’application a accès, découvrir les périphériques Bluetooth à proximité, afficher des animations, modifier le volume…

Et ce qui pose problème, c’est qu’aucun protocole d’identification n’a été défini. Il est donc possible pour une personne malveillante d’analyser le réseau afin de découvrir toutes les adresses IP des appareils don le port en question est ouvert. Une fois les appareils identifiés, cette personne peut donc profiter de la vulnérabilité. Le pire, c’est que sécuriser ce genre de chose est relativement simple. Il est fort probable qu’il s’agisse d’un oubli du développeur de l’application.

Attention, si vous avez installé cette application, il est vivement recommandé de la désinstaller, car même si le spectacle est terminé, la vulnérabilité reste présente.

Si vous voulez en savoir plus sur l’analyse de cette vulnérabilité, n’hésitez pas à consulter l’article de Lukas Stefanko (A great show is now history, as is its insecure mobile app) sur le blog d’ESET.

Mis à jour le

Poster un Commentaire

avatar
  S'abonner  
Notifications