Ανακαλύφθηκε σοβαρή ευπάθεια στην εφαρμογή Ολυμπιακών Αγώνων του Πεκίνου

Η επίσημη εφαρμογή για κινητά των χειμερινών Ολυμπιακών Αγώνων στο Πεκίνο επιλέχθηκε από ερευνητές ασφαλείας και οι ανακαλύψεις ήταν ανησυχητικές.

Μια ερευνητική ομάδα με το Canadian Citizen Lab δημοσίευσε μια ανάρτηση στην εφαρμογή MY2022 και ανακάλυψε μια «καταστροφική» ευπάθεια. Σύμφωνα με την έρευνα, η εφαρμογή έχει ένα ελάττωμα που καθιστά πρακτικά άκυρη την κρυπτογράφηση των δεδομένων που μεταφέρονται μέσω της εφαρμογής.

Το MY2022 είναι η επίσημη εφαρμογή που έχει γίνει υποχρεωτική για όλους τους συμμετέχοντες στους Ολυμπιακούς Αγώνες του Πεκίνου, συμπεριλαμβανομένων των αθλητών και των συνοδευτικών ομάδων και της συνοδείας. Η εφαρμογή πρόκειται να χρησιμοποιηθεί και από μέλη του Τύπου που καλύπτουν την εκδήλωση.

Σφάλματα κρυπτογράφησης SSL

Η ερευνητική ομάδα ανακάλυψε μια πολύ σημαντική ευπάθεια στη μέθοδο που χρησιμοποιεί η εφαρμογή για τη μετάδοση δεδομένων μεταξύ συσκευών. Η ίδια η επικοινωνία είναι κρυπτογραφημένη, αλλά η ευπάθεια επιτρέπει σε έναν δυνητικό κακόβουλο παράγοντα να παρακάμψει αυτήν την κρυπτογράφηση και να εκτελέσει επιθέσεις man-in-the-middle, καθώς και πρόσβαση σε ευαίσθητες πληροφορίες.

Διαπιστώθηκε ότι η εφαρμογή δεν μπορεί να επικυρώσει πιστοποιητικά SSL. Αυτό επιτρέπει σε έναν πιθανό εισβολέα να πλαστογραφήσει την επικοινωνία με αξιόπιστο διακομιστή και να κάνει την εφαρμογή να συνδεθεί σε έναν κακόβουλο κόμβο.

Εκτός από την κακή εφαρμογή SSL, οι ερευνητές ανακάλυψαν ότι η εφαρμογή μετέδιδε κομμάτια «ευαίσθητων» δεδομένων χωρίς καμία κρυπτογράφηση. Αυτό σημαίνει ότι οποιοσδήποτε «παθητικός» υποκλοπής θα μπορούσε να αξιοποιήσει αυτήν τη μετάδοση μέσω ενός σημείου πρόσβασης Wi-Fi και να δει τα ονόματα των αποστολέων και των παραληπτών μηνυμάτων, καθώς και τα αναγνωριστικά των λογαριασμών χρήστη.

Καμία απάντηση από τον Dev

Η ομάδα του Citizen Lab αποκάλυψε τα ευρήματά της στην Οργανωτική Επιτροπή του Πεκίνου πρώτα, όπως συνηθίζεται, με 15 ημέρες για απάντηση και 45 ημέρες για επιδιόρθωση. Στα τέλη Ιανουαρίου η εφαρμογή ενημερώθηκε, αλλά η ερευνητική ομάδα διαπίστωσε ότι τα ζητήματα που αναφέρθηκαν εξακολουθούσαν να είναι στην πιο πρόσφατη έκδοση και το Citizen Lab δεν έλαβε καμία απάντηση στο αρχικό ερώτημά τους.

Το ερευνητικό έγγραφο που δημοσιεύτηκε από το Citizen Lab καταλήγει με ισχυρές υποδείξεις ότι η εφαρμογή MY2022 δεν πληροί τις απαιτήσεις ασφαλείας ούτε του Google Play Store ούτε του Apple App Store, λόγω του κακού χειρισμού των ευαίσθητων δεδομένων και της κακής εφαρμογής ασφάλειας και ως εκ τούτου μπορεί να διαγραφεί από αυτές τις αγορές εφαρμογών.