Schwerwiegende Schwachstelle in Pekinger Olympia-App entdeckt

Die offizielle mobile Anwendung der Olympischen Winterspiele in Peking wurde von Sicherheitsforschern auseinander genommen und die Entdeckungen waren beunruhigend.

Ein Forschungsteam des Canadian Citizen Lab veröffentlichte einen Beitrag zur MY2022-App und entdeckte eine „verheerende“ Schwachstelle. Den Recherchen zufolge weist die Anwendung einen Fehler auf, der die Verschlüsselung von Daten, die über die App übertragen werden, praktisch unwirksam macht.

MY2022 ist die offizielle App, die für alle Teilnehmer an den Olympischen Spielen in Peking obligatorisch gemacht wurde, einschließlich Athleten und Begleitteams und Entourage. Die App wird auch von Pressevertretern genutzt, die über die Veranstaltung berichten.

SSL-Verschlüsselungsfehler

Das Forschungsteam entdeckte eine sehr bedeutende Schwachstelle in der Methode, die die Anwendung verwendet, um Daten zwischen Geräten zu übertragen. Die Kommunikation selbst ist verschlüsselt, aber die Schwachstelle ermöglicht es einem potenziell böswilligen Akteur, diese Verschlüsselung zu umgehen und Man-in-the-Middle-Angriffe auszuführen sowie auf vertrauliche Informationen zuzugreifen.

Es wurde festgestellt, dass die App SSL-Zertifikate nicht validieren kann. Dies ermöglicht es einem potenziellen Angreifer, die vertrauenswürdige Serverkommunikation zu fälschen und die App dazu zu bringen, sich mit einem bösartigen Knoten zu verbinden.

Zusätzlich zu der schlechten SSL-Implementierung stellten die Forscher fest, dass die App Teile „sensibler“ Daten ohne jegliche Verschlüsselung übermittelte. Dies bedeutet, dass jeder „passive“ Lauscher diese Übertragung über einen Wi-Fi-Zugangspunkt abgreifen und die Namen von Nachrichtensendern und -empfängern sowie Benutzerkonto-IDs sehen könnte.

Keine Antwort von Dev

Das Team von Citizen Lab teilte seine Ergebnisse wie üblich zuerst dem Pekinger Organisationskomitee mit, wobei 15 Tage für eine Antwort und 45 Tage für eine Lösung vorgesehen waren. Ende Januar wurde die App aktualisiert, aber das Forschungsteam stellte fest, dass die gemeldeten Probleme immer noch im neuesten Build waren und Citizen Lab keine Antwort auf ihre ursprüngliche Anfrage erhielt.

Das von Citizen Lab veröffentlichte Forschungsdokument schließt mit starken Hinweisen, dass die MY2022-App aufgrund des schlechten Umgangs mit sensiblen Daten und der schlechten Sicherheitsimplementierung nicht die Sicherheitsanforderungen des Google Play Store oder des Apple App Store erfüllt können von diesen App-Marktplätzen gestrichen werden.