Grave vulnerabilità scoperta nell'app delle Olimpiadi di Pechino
L'applicazione mobile ufficiale dei Giochi Olimpici Invernali di Pechino è stata scelta dai ricercatori della sicurezza e le scoperte sono state preoccupanti.
Un team di ricerca con Canadian Citizen Lab ha pubblicato un post sull'app MY2022 e ha scoperto una vulnerabilità "devastante". Secondo la ricerca, l'applicazione ha un difetto che rende praticamente nulla la crittografia dei dati trasferiti tramite l'app.
MY2022 è l'app ufficiale resa obbligatoria per tutti i partecipanti alle Olimpiadi di Pechino, inclusi gli atleti, le squadre di accompagnamento e l'entourage. L'app verrà utilizzata anche dai membri della stampa che seguiranno l'evento.
Difetti di crittografia SSL
Il team di ricerca ha scoperto una vulnerabilità molto significativa nel metodo utilizzato dall'applicazione per trasmettere i dati tra i dispositivi. La comunicazione stessa è crittografata, ma la vulnerabilità consente a un potenziale attore malintenzionato di aggirare tale crittografia ed eseguire attacchi man-in-the-middle, nonché di accedere a informazioni riservate.
L'app non è stata trovata in grado di convalidare i certificati SSL. Ciò consente a un potenziale aggressore di falsificare la comunicazione del server attendibile e di collegare l'app a un nodo dannoso.
Oltre alla scarsa implementazione di SSL, i ricercatori hanno scoperto che l'app trasmetteva bit di dati "sensibili" senza alcuna crittografia. Ciò significa che qualsiasi intercettatore "passivo" potrebbe attingere a questa trasmissione tramite un punto di accesso Wi-Fi e vedere i nomi dei mittenti e dei destinatari dei messaggi, nonché gli ID account utente.
Nessuna risposta da Dev
Il team del Citizen Lab ha prima rivelato le proprie scoperte al Comitato Organizzatore di Pechino, come di consueto, con 15 giorni per una risposta e 45 giorni per una soluzione. Alla fine di gennaio l'app è stata aggiornata, ma il team di ricerca ha scoperto che i problemi segnalati erano ancora nell'ultima build e Citizen Lab non ha ricevuto risposta alla domanda originale.
Il documento di ricerca pubblicato da Citizen Lab conclude con forti accenni che l'app MY2022 non soddisfa i requisiti di sicurezza né del Google Play Store né dell'Apple App Store, a causa della scarsa gestione dei dati sensibili e della cattiva implementazione della sicurezza, e come tale potrebbe essere rimosso da tali mercati di app.
