Allvarlig sårbarhet upptäckt i OS-appen i Peking

Den officiella mobilapplikationen för vinter-OS i Peking plockades isär av säkerhetsforskare och upptäckterna var oroande.

Ett forskarlag med Canadian Citizen Lab publicerade ett inlägg om MY2022-appen och upptäckte en "förödande" sårbarhet. Enligt forskningen har applikationen ett fel som gör krypteringen av data som överförs över appen praktiskt taget ogiltig.

MY2022 är den officiella appen som har gjorts obligatorisk för alla deltagare i OS i Peking, inklusive idrottare och medföljande lag och entourage. Appen kommer också att användas av pressmedlemmar som täcker evenemanget.

SSL-krypteringsbrister

Forskargruppen upptäckte en mycket betydande sårbarhet i metoden som applikationen använder för att överföra data över enheter. Kommunikationen i sig är krypterad, men sårbarheten tillåter en potentiell skadlig aktör att kringgå den krypteringen och utföra man-in-the-middle-attacker, samt komma åt känslig information.

Appen kunde inte validera SSL-certifikat. Detta tillåter en potentiell angripare att förfalska pålitlig serverkommunikation och få appen att ansluta till en skadlig nod.

Förutom den dåliga SSL-implementeringen upptäckte forskare att appen överförde bitar av "känslig" data utan någon kryptering. Detta innebär att alla "passiva" avlyssnare kan utnyttja denna överföring via en wi-fi-åtkomstpunkt och se namnen på meddelandeavsändare och mottagare, såväl som användarkonto-ID.

Inget svar från Dev

Teamet på Citizen Lab avslöjade sina resultat för Beijings organisationskommitté först, som är brukligt, med 15 dagar för ett svar och 45 dagar för att fixa. I slutet av januari uppdaterades appen men forskargruppen fann att de rapporterade problemen fortfarande var i den senaste versionen och Citizen Lab fick inget svar på sin ursprungliga fråga.

Forskningsdokumentet som publicerats av Citizen Lab avslutar med starka antydningar om att MY2022-appen inte uppfyller säkerhetskraven för vare sig Google Play Store eller Apple App Store, på grund av dålig hantering av känslig data och dålig säkerhetsimplementering, och som sådan kan tas bort från dessa appmarknadsplatser.