Alvorlig sårbarhet oppdaget i Beijing Olympics-appen

Den offisielle mobilapplikasjonen til vinter-OL i Beijing ble plukket fra hverandre av sikkerhetsforskere og oppdagelsene var urovekkende.

Et forskerteam med Canadian Citizen Lab publiserte et innlegg på MY2022-appen og oppdaget en "ødeleggende" sårbarhet. I følge forskningen har applikasjonen en feil som gjør krypteringen av data overført over appen praktisk talt ugyldig.

MY2022 er den offisielle appen som er gjort obligatorisk for alle deltakere i Beijing-OL, inkludert idrettsutøvere og medfølgende lag og følge. Appen skal også brukes av pressefolk som dekker begivenheten.

SSL-krypteringsfeil

Forskerteamet oppdaget en svært betydelig sårbarhet i metoden som applikasjonen bruker for å overføre data på tvers av enheter. Selve kommunikasjonen er kryptert, men sårbarheten lar en potensiell ondsinnet aktør omgå den krypteringen og utføre man-in-the-midten-angrep, samt få tilgang til sensitiv informasjon.

Appen ble funnet ute av stand til å validere SSL-sertifikater. Dette lar en potensiell angriper forfalske pålitelig serverkommunikasjon og få appen til å koble til en ondsinnet node.

I tillegg til den dårlige SSL-implementeringen, oppdaget forskere at appen sendte biter av "sensitive" data uten kryptering. Dette betyr at enhver "passiv" avlytting kan benytte seg av denne overføringen gjennom et wi-fi-tilgangspunkt og se navnene på meldingsavsendere og -mottakere, samt brukerkonto-IDer.

Ingen svar fra Dev

Teamet på Citizen Lab avslørte funnene sine til Beijings organisasjonskomité først, som vanlig, med 15 dager for et svar og 45 dager for å fikse. I slutten av januar ble appen oppdatert, men forskerteamet fant at de rapporterte problemene fortsatt var i den siste versjonen, og Citizen Lab mottok ikke noe svar på deres opprinnelige forespørsel.

Forskningsdokumentet publisert av Citizen Lab konkluderer med sterke hint om at MY2022-appen ikke oppfyller sikkerhetskravene til verken Google Play Store eller Apple App Store, på grunn av dårlig håndtering av sensitive data og dårlig sikkerhetsimplementering, og som sådan. kan bli fjernet fra disse appmarkedsplassene.