Vulnerabilidade séria descoberta no aplicativo das Olimpíadas de Pequim

O aplicativo móvel oficial dos Jogos Olímpicos de inverno em Pequim foi criticado por pesquisadores de segurança e as descobertas foram preocupantes.

Uma equipe de pesquisa do Canadian Citizen Lab publicou um post no aplicativo MY2022 e descobriu uma vulnerabilidade “devastadora”. De acordo com a pesquisa, o aplicativo possui uma falha que torna a criptografia dos dados transferidos pelo aplicativo praticamente nula e sem efeito.

MY2022 é o aplicativo oficial que se tornou obrigatório para todos os participantes das Olimpíadas de Pequim, incluindo atletas e equipes de acompanhamento e comitiva. O aplicativo também será usado por membros da imprensa que cobrem o evento.

Falhas de criptografia SSL

A equipe de pesquisa descobriu uma vulnerabilidade muito significativa no método que o aplicativo usa para transmitir dados entre dispositivos. A comunicação em si é criptografada, mas a vulnerabilidade permite que um agente mal-intencionado em potencial contorne essa criptografia e execute ataques man-in-the-middle, além de acessar informações confidenciais.

O aplicativo não conseguiu validar certificados SSL. Isso permite que um invasor em potencial falsifique a comunicação do servidor confiável e faça o aplicativo se conectar a um nó malicioso.

Além da má implementação do SSL, os pesquisadores descobriram que o aplicativo estava transmitindo bits de dados "sensíveis" sem qualquer criptografia. Isso significa que qualquer bisbilhoteiro "passivo" pode acessar essa transmissão por meio de um ponto de acesso wi-fi e ver os nomes dos remetentes e destinatários das mensagens, bem como os IDs das contas dos usuários.

Nenhuma resposta do desenvolvedor

A equipe do Citizen Lab divulgou suas descobertas primeiro ao Comitê Organizador de Pequim, como de costume, com 15 dias para uma resposta e 45 dias para uma correção. No final de janeiro, o aplicativo foi atualizado, mas a equipe de pesquisa descobriu que os problemas relatados ainda estavam na versão mais recente e o Citizen Lab não recebeu resposta à consulta original.

O documento de pesquisa publicado pelo Citizen Lab conclui com fortes indícios de que o aplicativo MY2022 não atende aos requisitos de segurança da Google Play Store ou da Apple App Store, devido ao mau manuseio de dados confidenciais e má implementação de segurança e, como tal, podem ser removidos desses mercados de aplicativos.