Sicherheitsexperten warnen App des Cirque du Soleil sollte deinstalliert werden

Sie haben die Show "Toruk" besucht und noch die Begleit-App auf dem Handy? Sicherheitsforscher machen auf eine Schwachstelle aufmerksam, die wohl auch im Nachhinein noch gefährlich werden könnte.

Szene aus der Show "Toruk" des Cirque du Soleil (hier in Madrid)
RODRIGO JIMENEZ/EPA-EFE/REX

Szene aus der Show "Toruk" des Cirque du Soleil (hier in Madrid)


Die IT-Sicherheitsfirma ESET hat nach eigenen Angaben in einer App des Cirque du Soleil eine Sicherheitslücke gefunden. Nutzern der App rät die Firma nun dazu, sie zu deinstallieren. Bei dem Programm handelt es sich um die Begleit-App zur Show "Toruk - der erste Flug", die bis Ende Juni zu sehen war.

Die App für Android und iOS sollte den Zuschauern auf ihren Sitzplätzen ein multimediales Erlebnis bescheren. "Toruk" hatte im Dezember 2015 Premiere und war zwischen Herbst 2018 und Juni 2019 auch in den deutschen Städten Berlin, Hamburg, München, Köln und Oberhausen zu Gast. ESET zufolge wurde die App allein in Googles Play Store über 100.000 Mal heruntergeladen - und das, obwohl sie seit 2016 nicht mehr aktualisiert worden sei, wie es in einer Pressemitteilung heißt.

Wenn die App ausgeführt werde, öffne sie einen lokalen Port, schreiben die Forscher. Damit könne der Veranstalter Geräte mit eingeschaltetem Bluetooth lokalisieren und dann Änderungen vornehmen, zum Beispiel die Lautstärke verändern, Animationen anzeigen und vieles mehr.

Sicherheitsrisiko gilt als moderat

"Das Problem ist, dass die App kein Authentifizierungsprotokoll hat", sagt Lukas Stefanko von ESET. "Ein Angreifer kann so problemlos das Netzwerk scannen, die IP-Adressen von Geräten erhalten, die den definierten Port 6161 geöffnet haben, sowie Befehle an alle Geräte senden, die die App ausführen." Auch nach der Show bleiben demnach alle Geräte, auf denen die App installiert ist, theoretisch verwundbar.

"Diejenigen, die diese App installiert haben, sollten sie sofort deinstallieren", so Stefanko. "Zudem empfehlen wir dringend, dies mit allen Apps zu tun, die lediglich für ein einmaliges Ereignis, wie eine Veranstaltung, installiert werden." Denn Apps für eine begrenzte Einsatzdauer würden oft nicht weiter gepflegt.

ESET habe Cirque du Soleil bereits im März und Mai über die Sicherheitsprobleme informiert, heißt es, allerdings keine Rückmeldung bekommen. Deshalb habe man sich zu einer Veröffentlichung nach Beendigung der Show entschieden. Das Sicherheitsrisiko habe man als "moderat" eingeschätzt, deshalb habe man die Show nicht beschädigen wollen, "die seit Jahren um den Globus tourt und nur noch ein paar Vorstellungen vor sich hatte", heißt es in dem Blogeintrag.

Cirque du Soleil betonte auf Anfrage des SPIEGEL, dass allein die App für die Show "Toruk" betroffen und mittlerweile auch aus dem App Store und Google Play Store entfernt worden sei, da die letzte Vorstellung bereits stattgefunden habe.

juh

Mehr zum Thema


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.