Pekino olimpinių žaidynių programoje aptiktas rimtas pažeidžiamumas

Oficialią Pekino žiemos olimpinių žaidynių mobiliąją aplikaciją saugumo tyrinėtojai išskyrė ir atradimai kėlė nerimą.

Mokslininkų komanda su Canadian Citizen Lab paskelbė įrašą programoje MY2022 ir aptiko „niokojantį“ pažeidžiamumą. Remiantis atliktais tyrimais, programa turi trūkumą, dėl kurio per programą perduodamų duomenų šifravimas praktiškai negalioja.

MY2022 yra oficiali programėlė, kuri tapo privaloma visiems Pekino olimpinių žaidynių dalyviams, įskaitant sportininkus ir juos lydinčias komandas bei aplinką. Programėle naudosis ir renginį nušviečiantys spaudos atstovai.

SSL šifravimo trūkumai

Tyrėjų komanda aptiko labai didelį metodo, kurį programa naudoja duomenims perduoti tarp įrenginių, pažeidžiamumą. Pats bendravimas yra užšifruotas, tačiau pažeidžiamumas leidžia potencialiam kenkėjiškam veikėjui apeiti šį šifravimą ir vykdyti „man-in-the-middle“ atakas, taip pat pasiekti jautrią informaciją.

Nustatyta, kad programa negali patvirtinti SSL sertifikatų. Tai leidžia potencialiam užpuolikui apgauti patikimą serverio ryšį ir priversti programą prisijungti prie kenkėjiško mazgo.

Be prasto SSL diegimo, mokslininkai išsiaiškino, kad programa perduoda „jautrių“ duomenų bitus be jokio šifravimo. Tai reiškia, kad bet kuris „pasyvus“ pasiklausytojas gali prisijungti prie šio perdavimo per „Wi-Fi“ prieigos tašką ir matyti pranešimų siuntėjų ir gavėjų vardus bei vartotojo abonementų ID.

Nėra atsakymo iš Dev

„Citizen Lab“ komanda pirmiausia atskleidė savo išvadas Pekino organizaciniam komitetui, kaip įprasta, su 15 dienų atsakymui ir 45 dienų pataisymui. Sausio pabaigoje programa buvo atnaujinta, tačiau tyrimų grupė nustatė, kad praneštos problemos vis dar buvo naujausioje versijoje, o „Citizen Lab“ negavo atsakymo į pradinę užklausą.

„Citizen Lab“ paskelbtame tyrimo dokumente teigiama, kad MY2022 programėlė neatitinka nei „Google Play Store“, nei „Apple App Store“ saugos reikalavimų dėl prasto jautrių duomenų tvarkymo ir netinkamo saugos įgyvendinimo. gali būti pašalintos iš tų programų prekyviečių.