Die Sammelwut von Apps auf Smartphones und Tablets entwickelt sich immer mehr zum Sicherheitsrisiko, warnt der Security-Hersteller ESET. Insbesondere spezielle Apps, die für Veranstaltungen, Messen oder Promotions angeboten werden, erfüllen oftmals weder Sicherheitsstandards noch erhalten sie Updates. Aktuell entdeckten die Malware-Jäger in der Applikation „Toruk“ des berühmten Cirque du Soleil-Show eine gefährliche Sicherheitslücke. Die TORUK-App wurde über 100.000 Mal von Google Play heruntergeladen. Hacker können darüber auf fremde Geräte zugreifen und dort beliebige Skripte oder Befehle ausführen.
Gute gemeint aber schlecht abgesichert
Zur Steigerung des Erlebnisses entwickelten die Macher hinter Cirque du Soleil die App "TORUK - The First Flight". Diese ermöglichte es dem Publikum, über audiovisuelle Effekte, die auf dem mobilen Geräten der Besucher erzeugt wurden, Teil der Show zu sein.
„Es scheint, dass die TORUK-App nicht mit Blick auf die Sicherheit entwickelt wurde. Damit hatte jeder, der während der Veranstaltung die App nutzte, die gleichen Zugriffsmöglichkeiten wie die Betreiber des Cirque du Soleil", erklärt Lukáš Štefanko, ESET Sicherheitsforscher, der die App analysiert hat.
Wenn diese App ausgeführt wird, öffnet sie einen lokalen Port. Damit kann der Veranstalter Geräte mit eingeschaltetem Bluetooth lokalisieren und dann Änderungen vornehmen: die Lautstärke verändern, Animationen anzeigen, die Position der Facebook-Taste "Like" auf dem Gerät einzustellen und vieles mehr. Das geht weit über die normalen Einstellungen hinaus, die Apps normalerweise benötigen.
„Das Problem ist, dass die App kein Authentifizierungsprotokoll hat. Ein Angreifer kann so problemlos das Netzwerk scannen, die IP-Adressen von Geräten erhalten, die den definierten Port 6161 geöffnet haben, sowie Befehle an alle Geräte senden, die die App ausführen", erklärt Štefanko.
Laut dem ESET-Sicherheitsexperten Lukas Štefanko wäre es einfach gewesen, die App gegen diese Art von Angriff sicher zu machen. „Wenn die App für jedes Gerät einen eindeutigen Token erzeugen würde, dann wäre es unmöglich, ohne Authentifizierung massenhaft auf alle Geräte zuzugreifen." Nach der Show bleiben so alle Geräte, auf denen diese App installiert ist, verwundbar. Nutzer könnten so auch lange nach der Show noch eine unangenehme Überraschung erleben, wenn sie an ein öffentliches Netz angeschlossen sind.
"Diejenigen, die diese App installiert haben, sollten sie sofort deinstallieren. Zudem empfehlen wir dringend, dies mit allen Apps zu tun, nur lediglich für ein einmaliges Ereignis, wie eine Veranstaltung, installiert werden.", so Štefanko abschließend.
Sicherheitslücke drei Jahre lang unentdeckt
Die TORUK-App wurde über 100.000 Mal von Google Play heruntergeladen – und das, obwohl sie seit 2016 nicht mehr aktualisiert wurde. ESET informierte Cirque du Soleil und den Entwickler der App über die Sicherheitsprobleme. Auf die Hinweise im März und Mai 2019 erhielt ESET jedoch keine Rückmeldung und entschloß sich daher zur Veröffentlichung nach Beendigung der Show.
Apps wie Toruk gelten generell als Sicherheitsrisiko. Sie haben nur eine begrenzte Einsatzdauer und werden daher nicht weiter gepflegt – verbleiben aber dennoch auf den meisten Geräten der Nutzer. Viel zu selten werden nicht mehr benötigte oder nicht mehr aktualisierte Apps gelöscht. Ob solche Programme einen ideologischen Wert für den Besitzer haben oder schlicht in der Masse untergehen: Sie sind das El Dorado für Hacker.
3 Tipps für Ihre Sicherheit:
- Löschen Sie Apps, die nur für bestimmte Zwecke entwickelt werden (z.B. für Veranstaltungen, Konzerte oder Promotions), direkt nach deren Ende
- Löschen Sie generell Apps, die Sie nicht mehr nutzen oder für die längere Zeit weder Updates noch neue Programmversionen herausgegeben wurden
- Installieren Sie auf ihrem Mobilgerät eine Antivirenlösung. Neben einem zuverlässigen Schutz vor Malware und anderen Bedrohungen, sind Sicherheitslösungen empfehlenswert, die zudem Funktionen wie einen Diebstahl-Schutz beinhalten.
Weitere Informationen und Hintergründe finden Sie auf dem englischsprachigen ESET-Blog „Android App Watch“: https://androidappwatch.eset.com/latest-posts/a-great-show-is-now-history-as-is-its-insecure-mobile-app/
Credit Header Image: Photo by Becky Phan on Unsplash