Vulnerabilidad de seguridad descubierta en la aplicación My2022 de los Juegos Olímpicos de Invierno de Beijing
solicitud de visitante Juegos Olímpicos de 2022 También es obligatorio descargar en Beijing Es una pesadilla de ciberseguridad que podría exponer gran parte de los datos que recopila, dice un nuevo informe.
MY2022, la aplicación imprescindible para los visitantes de la W de este añoentre games, que ofrece una variedad de servicios que incluyen recomendaciones de viaje, monitoreo de salud relacionado con Covid y navegación GPS.Diseñado por BOCOG Y es propiedad oficial de Beijing Financial Holding Group, una empresa china respaldada por el estado. WLa aplicación debería proporcionar una experiencia de visitante amplificada, según los investigadores También recopila una gran cantidad de información personal sobre sus usuarios, que aparentemente no dedica ningún esfuerzo a proteger.
de acuerdo a un nuevo reporte Investigadores digitales de Citizen Lab en la Universidad de Toronto, la aplicación es muy insegura y puede violar la propia ley de seguridad de datos de China, la Ley de Protección de Información Personal de China, cual tomar efecto final del año pasado Y se debe garantizar la protección básica de datos para los ciudadanos chinos.La aplicación también puede violar Política de software no deseado de GoogleEsto ayuda a eliminar las aplicaciones maliciosas del ecosistema de Android, así como las pautas de la App Store de Apple, según el informe.
Los investigadores observaron la versión 2.0.0 para iOS y la versión 2.0.1 para Android y descubrieron que ambas parecen tener fallas similares en el manejo del cifrado y la transmisión de datos.
Según Citizen Lab, las aplicaciones a menudo no logran Verificar certificado SSL– lo que significa que no verifica dónde realmente está enviando los datos.Esto permite a los usuarios potencialmente arrozun en-el-mmedio Un ataque cibernético en el que un atacante puede falsificar una conexión a un sitio web legítimo, robando solicitud.Al mismo tiempo, los investigadores encontraron que la aplicación también transmite ciertos tipos de metadatos sin necesidad de ningún Un tipo de encriptación SSL u otra protección de seguridad, en algunos casos para inspección pública.
G/O Media puede recibir una comisión
En general, a pesar de la gran cantidad de información confidencial sobre salud y viajes recopilada sobre sus usuarios (piense: detalles del pasaporte, historial médico, datos demográficos, etc.), MY2022 carece de las garantías para protegerla. Los investigadores dijeron que revelaron los problemas al BOCOG hace más de un mes, el 3 de diciembre, pero nunca recibieron respuesta.
Nos comunicamos con BOCOG para comentar sobre esta historia y lo actualizaremos si responden.
Aunque el Comité de Beijing nunca respondió a Citizen Lab, eso hizo Recientemente se lanzó una versión actualizada de la aplicación, iOS 2.0.5, que no solo no Se corrigieron los problemas de seguridad informados, pero aparentemente se introdujo uno nuevo: La última versión de la aplicación incluye una nueva característica llamada «códigos de salud verdes» diseñada para manejar documentos de viaje y datos de salud, que al igual que otras características no se transmiten de forma segura, escribieron los investigadores.
Dada la situación de China gigante de la vigilancia, podría ser fácil descartar este diseño de seguridad deficiente como una especie de conspiración del gobierno chino para robar información de los visitantes.y Si bien MY2022 puede parecer sospechoso, Citizen Lab deduce que puede ser completamente menos siniestro. Señalan que el gobierno chino ya recopila abiertamente gran parte de los datos vulnerables (explicando esto en la política de privacidad de la aplicación), por lo que hay pocas razones para implementar soluciones alternativas de vigilancia.El informe también señaló que la seguridad digital en el ecosistema de aplicaciones chino no es alta. exhaustivo, por lo que es posible que los desarrolladores de MY2022 hayan creado una aplicación horrible en lugar de una astuta.
«Creemos que es poco probable que esta falta general de seguridad sea el resultado de una conspiración gubernamental a gran escala, sino más bien explicaciones más simples, como las diferencias en los desarrolladores de software en China», escribieron los investigadores sobre la falla de seguridad..
.