Zaman vakit Türkiye’yi de ziyaret ederek, sıra dışı akrobasi gösterileriyle seyircileri büyüleyen Cirque du Soleil, son gösterisiyle bu kere siber güvenlik gündeminin bir modülü haline geldi. Ünlü sirkin ‘Toruk – The First Flight’ isimli son gösterisi için özel bir taşınabilir uygulama hazırlandı ve bu taşınabilir uygulama sayesinde aygıtlar yoluyla oluşturulan görsel ve işitsel efektlerle seyirciler, şovun bir modülü haline getirilmeye çalışıldı.
Ancak siber güvenlik kuruluşu ESET’e nazaran, Toruk uygulaması, güvenlik düşünülerek tasarlanmamış. Uygulamayı mercek altına alan ESET Güvenlik Araştırmacısı Lukas Stefanko’ya nazaran “gösteri sırasında ağa bağlı olan herkes Cirque du Soleil operatörleri ile tıpkı yönetici imkanlarına sahipti” tespitini yaptı.
Telefonun idaresi oburunun eline geçebilir
Lukas Stefanko, tespitlerini şöyle sürdürdü: ”Uygulama çalışırken bir lokal port açılır ve böylelikle uzaktan ses ayarlarını değiştirme, Bluetooth açıksa yakındaki Bluetooth aygıtlarını bulma, animasyon görüntüleme, aygıttaki Facebook “Like” butonunun durumunu belirleme ve uygulamanın erişebildiği paylaşım ayarlarına ulaşma mümkün hale gelir. Sorun şu ki, uygulamanın kimlik doğrulama protokolü bulunmuyor. Bir düşman, ağı tarayabilir, tanımlanan temas noktası açık olan aygıtların IP adreslerini alabilir ve uygulamayı çalıştıran tüm aygıtlara komutlar gönderebilir.”
Lukas Stefanko’ya nazaran, uygulamayı bu tıp hücumlara karşı dirençli hale getirmek çok kolay olurdu: “Uygulama her aygıt için eşsiz bir token oluştursaydı, rastgele bir kimlik doğrulama evresi olmadan topluca tüm aygıtlara erişmek imkansız olacaktı.”
‘Toruk – The First Flight’ uygulaması Google Play’den 100 bin defa indirilmiş görünüyor. Uygulamanın ayrıyeten iOS sürümü de var. Toruk gösterisinin bitmesiyle, uygulamanın tanıtılması durduruldu ve Cirque du Soleil çalışanları, uygulamayı hem Android’in hem de Apple’ın resmi uygulama mağazalarından geri çekebileceklerini duyurdular.
Uygulama kaldırılmalı
“Gösteriden sonra, bu uygulamanın yüklü olduğu tüm aygıtlar savunmasız kalabilir. Bu nedenle kullanıcılar halka açık bir ağa bağlıysa gelecekte rastgele bir noktada beğenilen olmayan sürprizlerle karşılaşabilirler” tespitini yapan ESET Güvenlik Uzmanı, “Bu uygulamayı kuranlar derhal kaldırmalıdır. Bu ortada, bunu tüm tek maksatlı uygulamalar için yapmanızı şiddetle tavsiye ederiz” açıklamasını yaptı.
