北京オリンピックアプリで発見された深刻な脆弱性

北京での冬季オリンピックの公式モバイルアプリケーションは、セキュリティ研究者によって取り上げられ、発見は厄介でした。

Canadian Citizen Labの研究チームは、MY2022アプリに関する投稿を公開し、「壊滅的な」脆弱性を発見しました。調査によると、アプリケーションには、アプリを介して転送されるデータの暗号化を事実上無効にする欠陥があります。

MY2022は、北京オリンピックのすべての参加者（アスリート、付随するチーム、および側近を含む）に義務付けられた公式アプリです。このアプリは、イベントを報道する報道関係者によっても使用される予定です。

SSL暗号化の欠陥

調査チームは、アプリケーションがデバイス間でデータを送信するために使用する方法に非常に重大な脆弱性を発見しました。通信自体は暗号化されていますが、この脆弱性により、潜在的な悪意のある攻撃者がその暗号化を回避して中間者攻撃を実行したり、機密情報にアクセスしたりする可能性があります。

アプリがSSL証明書を検証できないことが判明しました。これにより、潜在的な攻撃者が信頼できるサーバー通信をスプーフィングし、アプリを悪意のあるノードに接続させることができます。

不十分なSSL実装に加えて、研究者は、アプリが暗号化なしで「機密」データのビットを送信していることを発見しました。これは、「パッシブ」な盗聴者がWi-Fiアクセスポイントを介してこの送信を利用し、メッセージの送信者と受信者の名前、およびユーザーアカウントIDを確認できることを意味します。

開発者からの応答なし

シチズンラボのチームは、通常どおり、最初に北京組織委員会に調査結果を開示し、応答に15日、修正に45日を提供しました。 1月下旬にアプリが更新されましたが、調査チームは報告された問題がまだ最新のビルドにあることを発見し、CitizenLabは元のクエリに対する応答を受け取りませんでした。

Citizen Labが公開した調査資料は、機密データの処理が不十分でセキュリティの実装が不適切なため、MY2022アプリがGooglePlayストアまたはAppleAppStoreのセキュリティ要件を満たしていないことを強く示唆していると結論付けています。それらのアプリマーケットプレイスから除外される可能性があります。