北京奥运App发现严重漏洞

北京冬奥会官方移动应用程序被安全研究人员拆开，发现令人不安。

加拿大公民实验室的一个研究小组在 MY2022 应用程序上发表了一篇文章，发现了一个“毁灭性”的漏洞。根据研究，该应用程序存在一个缺陷，该缺陷使通过该应用程序传输的数据的加密几乎无效。

MY2022是北京奥运会所有参赛者（包括运动员和随行人员）必须使用的官方应用程序。该应用程序也将被报道该事件的媒体成员使用。

SSL 加密缺陷

研究小组在应用程序用于跨设备传输数据的方法中发现了一个非常重要的漏洞。通信本身是加密的，但该漏洞允许潜在的恶意行为者绕过加密并执行中间人攻击，以及访问敏感信息。

发现该应用无法验证 SSL 证书。这允许潜在的攻击者欺骗受信任的服务器通信并使应用程序连接到恶意节点。

除了糟糕的 SSL 实施之外，研究人员还发现该应用程序在没有任何加密的情况下传输了一些“敏感”数据。这意味着任何“被动”窃听者都可以通过 wi-fi 接入点窃听此传输，并查看消息发送者和接收者的姓名以及用户帐户 ID。

开发人员没有回应

公民实验室的团队按照惯例首先向北京奥组委公布了他们的调查结果，15天回复，45天修复。 1 月下旬，该应用程序进行了更新，但研究团队发现报告的问题仍在最新版本中，而 Citizen Lab 没有收到对其原始查询的回复。

Citizen Lab 发布的研究文件在结论中强烈暗示 MY2022 应用程序不符合 Google Play Store 或 Apple App Store 的安全要求，原因是敏感数据处理不善和安全实施不善，因此可能会从这些应用市场下架。