W aplikacji Igrzysk Olimpijskich w Pekinie wykryto poważną lukę
Oficjalna aplikacja mobilna zimowych igrzysk olimpijskich w Pekinie została rozebrana przez badaczy bezpieczeństwa, a odkrycia były niepokojące.
Zespół badawczy z Canadian Citizen Lab opublikował post na aplikacji MY2022 i odkrył „niszczącą” lukę w zabezpieczeniach. Według badań aplikacja ma usterkę, która sprawia, że szyfrowanie danych przesyłanych przez aplikację jest praktycznie nieważne.
MY2022 to oficjalna aplikacja, która stała się obowiązkowa dla wszystkich uczestników igrzysk olimpijskich w Pekinie, w tym sportowców, drużyn towarzyszących i otoczenia. Z aplikacji będą korzystać także przedstawiciele prasy relacjonującej wydarzenie.
Błędy szyfrowania SSL
Zespół badawczy odkrył bardzo istotną lukę w metodzie wykorzystywanej przez aplikację do przesyłania danych między urządzeniami. Sama komunikacja jest zaszyfrowana, ale luka w zabezpieczeniach umożliwia potencjalnemu złośliwemu podmiotowi obejście tego szyfrowania i przeprowadzanie ataków typu man-in-the-middle, a także dostęp do poufnych informacji.
Aplikacja nie może zweryfikować certyfikatów SSL. Dzięki temu potencjalny atakujący może sfałszować komunikację z zaufanym serwerem i nawiązać połączenie aplikacji ze złośliwym węzłem.
Oprócz słabej implementacji SSL, naukowcy odkryli, że aplikacja przesyła bity „wrażliwych” danych bez żadnego szyfrowania. Oznacza to, że każdy „pasywny” podsłuchujący może skorzystać z tej transmisji przez punkt dostępu Wi-Fi i zobaczyć nazwy nadawców i odbiorców wiadomości, a także identyfikatory kont użytkowników.
Brak odpowiedzi od Dev
Zespół z Citizen Lab najpierw ujawnił swoje odkrycia Komitetowi Organizacyjnemu w Pekinie, jak to jest w zwyczaju, 15 dni na odpowiedź i 45 dni na naprawę. Pod koniec stycznia aplikacja została zaktualizowana, ale zespół badawczy stwierdził, że zgłoszone problemy nadal występują w najnowszej wersji, a Citizen Lab nie otrzymał odpowiedzi na ich pierwotne zapytanie.
Dokument badawczy opublikowany przez Citizen Lab kończy się mocnymi wskazówkami, że aplikacja MY2022 nie spełnia wymagań bezpieczeństwa ani sklepu Google Play, ani Apple App Store, ze względu na słabą obsługę poufnych danych i złą implementację zabezpieczeń, i jako takie mogą zostać usunięte z tych rynków aplikacji.
