В приложении Пекинской Олимпиады обнаружена серьезная уязвимость

Официальное мобильное приложение зимних Олимпийских игр в Пекине было разобрано исследователями безопасности, и эти открытия вызвали беспокойство.

Исследовательская группа из Canadian Citizen Lab опубликовала сообщение о приложении MY2022 и обнаружила «разрушительную» уязвимость. Согласно исследованию, в приложении есть недостаток, из-за которого шифрование данных, передаваемых через приложение, практически недействительно.

MY2022 — это официальное приложение, которое стало обязательным для всех участников Олимпийских игр в Пекине, включая спортсменов, сопровождающие их команды и сопровождающих лиц. Приложением также будут пользоваться представители прессы, освещающие мероприятие.

Недостатки SSL-шифрования

Исследовательская группа обнаружила очень существенную уязвимость в методе, который приложение использует для передачи данных между устройствами. Сама связь зашифрована, но уязвимость позволяет потенциальному злоумышленнику обойти это шифрование и выполнить атаки «человек посередине», а также получить доступ к конфиденциальной информации.

Было обнаружено, что приложение не может проверить SSL-сертификаты. Это позволяет потенциальному злоумышленнику подделать связь доверенного сервера и заставить приложение подключиться к вредоносному узлу.

Помимо плохой реализации SSL, исследователи обнаружили, что приложение передавало биты «конфиденциальных» данных без какого-либо шифрования. Это означает, что любой «пассивный» перехватчик может подключиться к этой передаче через точку доступа Wi-Fi и увидеть имена отправителей и получателей сообщений, а также идентификаторы учетных записей пользователей.

Нет ответа от Dev

Команда Citizen Lab сначала сообщила о своих выводах пекинскому организационному комитету, как обычно, с 15 днями на ответ и 45 днями на исправление. В конце января приложение было обновлено, но исследовательская группа обнаружила, что проблемы, о которых сообщалось, все еще были в последней сборке, и Citizen Lab не получила ответа на свой первоначальный запрос.

Исследовательский документ, опубликованный Citizen Lab, содержит убедительные намеки на то, что приложение MY2022 не соответствует требованиям безопасности ни Google Play Store, ни Apple App Store из-за плохой обработки конфиденциальных данных и плохой реализации безопасности, и как таковое. могут быть исключены из списка этих торговых площадок приложений.