Zaman zaman Türkiye’yi de ziyaret ederek, sıra dışı akrobasi şovlarıyla seyircileri büyüleyen Cirque du Soleil, son gösterisiyle bu kez siber güvenlik gündeminin bir parçası haline geldi. Ünlü sirkin ‘Toruk – The First Flight’ isimli son gösterisi için özel bir mobil uygulama hazırlandı ve bu mobil uygulama sayesinde cihazlar yoluyla oluşturulan görsel ve işitsel efektlerle seyirciler, gösterinin bir parçası haline getirilmeye çalışıldı.
Ancak siber güvenlik kuruluşu ESET’e göre, Toruk uygulaması, güvenlik düşünülerek tasarlanmamış. Uygulamayı mercek altına alan ESET Güvenlik Araştırmacısı Lukas Stefanko’ya göre “gösteri sırasında ağa bağlı olan herkes Cirque du Soleil operatörleri ile aynı yönetici olanaklarına sahipti” tespitini yaptı.
Telefonun yönetimi başkasının eline geçebilir
Lukas Stefanko, tespitlerini şöyle sürdürdü: ”Uygulama çalışırken bir yerel port açılır ve böylece uzaktan ses ayarlarını değiştirme, Bluetooth açıksa yakındaki Bluetooth cihazlarını bulma, animasyon görüntüleme, cihazdaki Facebook “Like” butonunun pozisyonunu belirleme ve uygulamanın erişebildiği paylaşım ayarlarına ulaşma mümkün hale gelir. Sorun şu ki, uygulamanın kimlik doğrulama protokolü bulunmuyor. Bir düşman, ağı tarayabilir, tanımlanan bağlantı noktası açık olan cihazların IP adreslerini alabilir ve uygulamayı çalıştıran tüm cihazlara komutlar gönderebilir.”
Lukas Stefanko’ya göre, uygulamayı bu tür saldırılara karşı dirençli hale getirmek çok basit olurdu: “Uygulama her cihaz için benzersiz bir token oluştursaydı, herhangi bir kimlik doğrulama aşaması olmadan topluca tüm cihazlara erişmek imkansız olacaktı.”
‘Toruk – The First Flight’ uygulaması Google Play’den 100 bin kez indirilmiş görünüyor. Uygulamanın ayrıca iOS sürümü de var. Toruk gösterisinin bitmesiyle, uygulamanın tanıtılması durduruldu ve Cirque du Soleil çalışanları, uygulamayı hem Android’in hem de Apple’ın resmi uygulama mağazalarından geri çekebileceklerini duyurdular.
Uygulama kaldırılmalı
“Gösteriden sonra, bu uygulamanın yüklü olduğu tüm cihazlar savunmasız kalabilir. Bu nedenle kullanıcılar halka açık bir ağa bağlıysa gelecekte herhangi bir noktada hoş olmayan sürprizlerle karşılaşabilirler” tespitini yapan ESET Güvenlik Uzmanı, “Bu uygulamayı kuranlar derhal kaldırmalıdır. Bu arada, bunu tüm tek amaçlı uygulamalar için yapmanızı şiddetle tavsiye ederiz” açıklamasını yaptı.