Aplikasi seluler Cirque du Soleil yang digunakan untuk memberikan efek audiovisual tambahan selama pertunjukan terbukti memiliki kerentanan signifikan yang membahayakan anggota audiens. Aplikasi yang dirancang untuk acara yang terinspirasi Avatar, Toruk, ditemukan memiliki kerentanan oleh Lukáš Štefanko, seorang peneliti keamanan siber ESET.
Aplikasi bernama “TORUK – The First Flight,” menyediakan sarana bagi penonton untuk menjadi bagian dari pertunjukan melalui efek audiovisual yang dihasilkan pada perangkat mobile mereka. Tapi tampaknya aplikasi TORUK tidak dirancang dengan mempertimbangkan keamanan. Akibatnya, siapa pun yang terhubung ke jaringan selama pertunjukan memiliki kemungkinan admin yang sama dengan operator Cirque du Soleil
Aplikasi “TORUK – The First Flight” memiliki lebih dari 100.000 pemasangan di Goggle Play, selain ada juga versi untuk iOS. Dengan berakhirnya acara TORUK, aplikasi tidak lagi dipasarkan, dan staf Cirque du Soleil mengatakan mereka akan menariknya keduanya.
Apa masalahnya
Saat aplikasi ini berjalan
- Ia membuka port lokal sehingga memungkinkan untuk mengubah pengaturan volume dari jarak jauh.
- Menemukan perangkat Bluetooth terdekat jika Bluetooth aktif.
- Menampilkan animasi.
- Mengatur tombol “Like” atau posting di Facebook pada perangkat.
- Membaca atau menulis ke preferensi bersama yang dapat diakses oleh aplikasi.
Masalahnya adalah aplikasi tidak memiliki protokol otentikasi. Peretas dapat memindai jaringan dan mendapatkan alamat IP perangkat dengan port yang ditentukan terbuka – port 6161 – dan mengirim perintah ke semua perangkat yang menjalankan aplikasi
Dengan kata lain aplikasi tersebut tidak memiliki protokol keamanan dasar, yang berarti siapa pun yang terhubung ke jaringan yang sama dapat mengakses perangkat anggota audiens dan mengubahnya.
Jika kita lihat dari sudut pandang lain, kondisi ini seperti saat pengguna aplikasi terhubung ke jaringan yang sama, dalam konteks seperti sedang berada dalam jaringan Wi-Fi gratis di hotel, pusat perbelanjaan, kedai kopi atau bandara, memiliki kemungkinan yang sama dengan yang dimiliki oleh operator aplikasi di acara itu.
Meskipun ini tampak seperti ancaman yang relatif kecil, tetap saja ini membuka pintu bagi sejumlah gangguan berbahaya, menempatkan pengguna aplikasi seluler Cirque du Soleil dalam risiko serius. Dan terutama, kerentanannya tidak spesifik untuk pertunjukan: siapa pun dengan aplikasi yang masih terpasang tetap terbuka.
Karena sifat aplikasi, tidak ada perintah yang dapat dieksekusi oleh peretas yang dapat membahayakan korban dengan asumsi aplikasi tidak memiliki kerentanan lebih lanjut. Namun, perangkat dengan aplikasi yang diinstal ini tetap rentan setelah pertunjukan, sehingga para penggunanya mungkin mengalami kejutan yang tidak menyenangkan kapan saja di masa depan jika terhubung ke jaringan publik.
Dengan mencapai pemasangan hingga ratusan ribu di Google Play. Ditambah belum diperbarui/update sejak 2016. ESET memberi tahu pengembang aplikasi Cirque du Soleil tentang masalah keamanan yang ESET deteksi pada Maret 2019. Setelah tidak mendapat tanggapan, lagi pada 21 Mei. Setelah mengetahui tentang akan segera berakhirnya pertunjukan TORUK, ESET memutuskan untuk menunda publikasi temuan tersebut. Demi mempertimbangkan risiko keamanan yang terkait dengan aplikasi, terhadap efek negatif dari merusak pertunjukan setelah lima tahun berkeliling dunia dan dengan menyisakan beberapa pertunjukan lagi.
Pencegahan
Menurut Štefanko, membuat aplikasi yang tahan terhadap serangan jenis ini akan sebenarnya sangat sederhana. Pengembang aplikasi cukup membuat token unik untuk setiap perangkat, maka tidak mungkin untuk mengakses semua perangkat secara massal, tanpa otentikasi apa pun. Tapi sayangnya pengembang aplikasi sepertinya luput memperhatikan detil kecil namun penting semacam ini.
Dan untuk menghindari dan mencegah terjadinya kejahatan siber di kemudian hari ESET menyarankan agar para pengguna aplikasi “TORUK – The First Flight,” harus segera mencopot atau uninstall aplikasi dari perangkatnya. Rekomendasi ini bukan sesuatu yang bisa ditawar kecuali pengguna siap menanggung risiko besar.
Sumber berita:
www.welivesecurity.com
