北京奧運App發現嚴重漏洞

北京冬奧會官方移動應用程序被安全研究人員拆開，發現令人不安。

加拿大公民實驗室的一個研究小組在 MY2022 應用程序上發表了一篇文章，發現了一個“毀滅性”的漏洞。根據研究，該應用程序存在一個缺陷，該缺陷使通過該應用程序傳輸的數據的加密幾乎無效。

MY2022 是北京奧運會所有參賽者（包括運動員和隨行人員）必須使用的官方應用程序。該應用程序也將被報導該事件的媒體成員使用。

SSL 加密缺陷

研究小組在應用程序用於跨設備傳輸數據的方法中發現了一個非常重要的漏洞。通信本身是加密的，但該漏洞允許潛在的惡意行為者繞過加密並執行中間人攻擊，以及訪問敏感信息。

發現該應用無法驗證 SSL 證書。這允許潛在的攻擊者欺騙受信任的服務器通信並使應用程序連接到惡意節點。

除了糟糕的 SSL 實施之外，研究人員還發現該應用程序在沒有任何加密的情況下傳輸了一些“敏感”數據。這意味著任何“被動”竊聽者都可以通過 wi-fi 接入點竊聽此傳輸，並查看消息發送者和接收者的姓名以及用戶帳戶 ID。

開發人員沒有回應

公民實驗室的團隊按照慣例首先向北京奧組委披露了他們的調查結果，15天回复，45天修復。 1 月下旬，該應用程序進行了更新，但研究團隊發現報告的問題仍在最新版本中，而 Citizen Lab 沒有收到對其原始查詢的回复。

Citizen Lab 發布的研究文件在結論中強烈暗示 MY2022 應用程序不符合 Google Play Store 或 Apple App Store 的安全要求，原因是敏感數據處理不善和安全實施不善，因此可能會從這些應用市場下架。