Alvorlig sårbarhed opdaget i Beijing Olympics App

Den officielle mobilapplikation til de olympiske vinterlege i Beijing blev plukket fra hinanden af sikkerhedsforskere, og opdagelserne var bekymrende.

Et forskerhold med Canadian Citizen Lab offentliggjorde et indlæg på MY2022-appen og opdagede en "ødelæggende" sårbarhed. Ifølge forskningen har applikationen en fejl, der gør krypteringen af data, der overføres via appen, praktisk talt ugyldig.

MY2022 er den officielle app, der er blevet gjort obligatorisk for alle deltagere ved OL i Beijing, inklusive atleter og medfølgende hold og følge. App'en vil også blive brugt af medlemmer af pressen, der dækker begivenheden.

SSL-krypteringsfejl

Forskerholdet opdagede en meget betydelig sårbarhed i den metode, som applikationen bruger til at overføre data på tværs af enheder. Selve kommunikationen er krypteret, men sårbarheden giver en potentiel ondsindet aktør mulighed for at omgå denne kryptering og udføre man-in-the-middle-angreb samt få adgang til følsomme oplysninger.

Appen blev fundet ude af stand til at validere SSL-certifikater. Dette giver en potentiel angriber mulighed for at forfalske betroet serverkommunikation og få appen til at oprette forbindelse til en ondsindet node.

Ud over den dårlige SSL-implementering opdagede forskere, at appen transmitterede bits af "følsomme" data uden nogen kryptering. Dette betyder, at enhver "passiv" aflytning kan benytte denne transmission gennem et wi-fi-adgangspunkt og se navnene på meddelelsesafsendere og -modtagere samt brugerkonto-id'er.

Intet svar fra Dev

Holdet på Citizen Lab afslørede først deres resultater til Beijings organisationskomité, som det er sædvanligt, med 15 dage til et svar og 45 dage til en rettelse. I slutningen af januar blev appen opdateret, men forskerholdet fandt ud af, at de rapporterede problemer stadig var i den seneste build, og Citizen Lab modtog intet svar på deres oprindelige forespørgsel.

Forskningsdokumentet udgivet af Citizen Lab konkluderer med stærke antydninger om, at MY2022-appen ikke opfylder sikkerhedskravene i hverken Google Play Store eller Apple App Store på grund af den dårlige håndtering af følsomme data og dårlig sikkerhedsimplementering, og som sådan kan blive fjernet fra disse app-markedspladser.