Ernstige kwetsbaarheid ontdekt in app voor Olympische Spelen in Peking
De officiële mobiele applicatie van de Olympische Winterspelen in Peking werd door beveiligingsonderzoekers uit elkaar gehaald en de ontdekkingen waren verontrustend.
Een onderzoeksteam met Canadian Citizen Lab publiceerde een bericht over de MY2022-app en ontdekte een "verwoestende" kwetsbaarheid. Volgens het onderzoek heeft de applicatie een fout waardoor de versleuteling van gegevens die via de app worden overgedragen, praktisch nietig is.
MY2022 is de officiële app die verplicht is gesteld voor alle deelnemers aan de Olympische Spelen in Peking, inclusief atleten en begeleidende teams en entourage. De app zal ook worden gebruikt door leden van de pers die verslag doen van het evenement.
SSL-coderingsfouten
Het onderzoeksteam ontdekte een zeer significante kwetsbaarheid in de methode die de applicatie gebruikt om gegevens over verschillende apparaten te verzenden. De communicatie zelf is versleuteld, maar door de kwetsbaarheid kan een potentiële kwaadwillende actor die versleuteling omzeilen en man-in-the-middle-aanvallen uitvoeren, en toegang krijgen tot gevoelige informatie.
De app kan SSL-certificaten niet valideren. Hierdoor kan een potentiële aanvaller vertrouwde servercommunicatie vervalsen en de app verbinding laten maken met een kwaadaardig knooppunt.
Naast de slechte SSL-implementatie ontdekten onderzoekers dat de app stukjes "gevoelige" gegevens verzond zonder enige codering. Dit betekent dat elke "passieve" afluisteraar deze transmissie via een wifi-toegangspunt kan afluisteren en de namen van afzenders en ontvangers van berichten kan zien, evenals gebruikersaccount-ID's.
Geen reactie van Dev
Het team van Citizen Lab maakte hun bevindingen eerst bekend aan het organisatiecomité van Peking, zoals gebruikelijk, met 15 dagen voor een reactie en 45 dagen voor een oplossing. Eind januari werd de app geüpdatet, maar het onderzoeksteam ontdekte dat de gemelde problemen zich nog steeds in de nieuwste build bevonden en Citizen Lab ontving geen antwoord op hun oorspronkelijke vraag.
Het onderzoeksdocument gepubliceerd door Citizen Lab concludeert met sterke hints dat de MY2022-app niet voldoet aan de beveiligingsvereisten van de Google Play Store of de Apple App Store, vanwege de slechte verwerking van gevoelige gegevens en slechte beveiligingsimplementatie, en als zodanig kunnen van die app-marktplaatsen worden verwijderd.
