Súlyos sebezhetőséget fedeztek fel a pekingi olimpia alkalmazásában

A pekingi téli olimpiai játékok hivatalos mobilalkalmazását biztonsági kutatók szedték szét, és a felfedezések aggasztóak voltak.

A Canadian Citizen Lab kutatócsoportja közzétett egy bejegyzést a MY2022 alkalmazásban, és egy "pusztító" sebezhetőséget fedezett fel. A kutatás szerint az alkalmazásnak van egy olyan hibája, amely gyakorlatilag semmissé teszi az alkalmazáson keresztül továbbított adatok titkosítását.

A MY2022 a hivatalos alkalmazás, amelyet kötelezővé tettek a pekingi olimpia minden résztvevője számára, beleértve a sportolókat, a kísérő csapatokat és a kíséretet. Az alkalmazást az eseményről tudósító sajtó képviselői is használni fogják.

SSL titkosítási hibák

A kutatócsoport nagyon jelentős sérülékenységet fedezett fel az alkalmazás által az eszközök közötti adatátvitelre használt módszerben. Maga a kommunikáció titkosított, de a biztonsági rés lehetővé teszi a potenciális rosszindulatú szereplők számára, hogy megkerüljék ezt a titkosítást, és emberközeli támadásokat hajtsanak végre, valamint hozzáférjenek érzékeny információkhoz.

Az alkalmazás nem tudja ellenőrizni az SSL-tanúsítványokat. Ez lehetővé teszi a potenciális támadók számára, hogy meghamisítsák a megbízható szerverkommunikációt, és rávegyék, hogy az alkalmazás csatlakozzon egy rosszindulatú csomóponthoz.

A gyenge SSL implementáció mellett a kutatók felfedezték, hogy az alkalmazás titkosítás nélkül továbbított biteket "érzékeny" adatokból. Ez azt jelenti, hogy bármely "passzív" lehallgató hozzáférhet ehhez az átvitelhez egy Wi-Fi hozzáférési ponton keresztül, és láthatja az üzenet küldőinek és címzettjeinek nevét, valamint a felhasználói fiókok azonosítóit.

Nincs válasz a fejlesztőtől

A Citizen Lab csapata először a Pekingi Szervező Bizottságnak közölte megállapításait, ahogy az lenni szokott, 15 nap áll rendelkezésre a válaszadásra és 45 nap a javításra. Január végén az alkalmazást frissítették, de a kutatócsoport úgy találta, hogy a bejelentett problémák még mindig a legújabb verzióban vannak, és a Citizen Lab nem kapott választ az eredeti kérdésre.

A Citizen Lab által közzétett kutatási dokumentum határozott utalásokkal zárja, hogy a MY2022 alkalmazás nem felel meg sem a Google Play Store, sem az Apple App Store biztonsági követelményeinek, az érzékeny adatok rossz kezelése és a rossz biztonsági megvalósítás miatt. eltávolíthatók ezekről az alkalmazáspiacokról.