Grave vulnerabilidad descubierta en la aplicación de los Juegos Olímpicos de Beijing
La aplicación móvil oficial de los Juegos Olímpicos de invierno en Beijing fue desmantelada por investigadores de seguridad y los descubrimientos fueron preocupantes.
Un equipo de investigación de Canadian Citizen Lab publicó una publicación en la aplicación MY2022 y descubrió una vulnerabilidad "devastadora". Según la investigación, la aplicación tiene una falla que hace que el cifrado de los datos transferidos a través de la aplicación sea prácticamente nulo.
MY2022 es la aplicación oficial que se ha hecho obligatoria para todos los participantes en los Juegos Olímpicos de Beijing, incluidos los atletas y los equipos y el séquito que los acompaña. La aplicación también será utilizada por miembros de la prensa que cubran el evento.
Defectos de cifrado SSL
El equipo de investigación descubrió una vulnerabilidad muy importante en el método que utiliza la aplicación para transmitir datos entre dispositivos. La comunicación en sí está encriptada, pero la vulnerabilidad permite que un posible actor malicioso eluda ese encriptado y ejecute ataques de intermediarios, así como también acceda a información confidencial.
Se encontró que la aplicación no podía validar los certificados SSL. Esto permite que un atacante potencial falsifique la comunicación del servidor confiable y haga que la aplicación se conecte a un nodo malicioso.
Además de la mala implementación de SSL, los investigadores descubrieron que la aplicación estaba transmitiendo bits de datos "sensibles" sin ningún tipo de cifrado. Esto significa que cualquier intruso "pasivo" podría acceder a esta transmisión a través de un punto de acceso wi-fi y ver los nombres de los remitentes y destinatarios del mensaje, así como las identificaciones de las cuentas de usuario.
Sin respuesta de Dev
El equipo de Citizen Lab reveló sus hallazgos primero al Comité Organizador de Beijing, como es costumbre, con 15 días para una respuesta y 45 días para una solución. A fines de enero, la aplicación se actualizó, pero el equipo de investigación descubrió que los problemas informados aún estaban en la última versión y Citizen Lab no recibió respuesta a su consulta original.
El documento de investigación publicado por Citizen Lab concluye con fuertes indicios de que la aplicación MY2022 no cumple con los requisitos de seguridad de Google Play Store o Apple App Store, debido al manejo deficiente de los datos confidenciales y la mala implementación de seguridad, y como tal puede ser eliminado de esos mercados de aplicaciones.
