L’uso dell’app delle Olimpiadi cinesi, MY2022, sarà obbligatorio per tutti coloro che partecipano ai Giochi Olimpici di Pechino di quest’anno, sia per gli atleti, che semplicemente per gli spettatori. Ci sono, però, problemi con l’app.
Anzitutto, perché l’app raccoglie dati personali sensibili, come i dettagli del passaporto, i dati medici e la cronologia dei viaggi. Inoltre, l’analisi dei ricercatori di sicurezza rivela che il codice ha due falle che potrebbero esporre queste informazioni a terzi.
E’ stata Citizen Lab, che ha anche svolto un ruolo chiave nell’identificazione dei telefoni compromessi dallo spyware Pegasus, a svolgere l’analisi sull’app.
A causa della pandemia di COVID-19, la Cina ha deciso di implementare un sistema di gestione “a circuito chiuso” e test giornalieri. Inoltre, tutti i partecipanti internazionali e nazionali ai Giochi hanno l’obbligo di scaricare MY2022 14 giorni prima della loro partenza per la Cina e di iniziare a monitorare e inviare quotidianamente il proprio stato di salute all’app
[Abbiamo trovato] due vulnerabilità di sicurezza nell’app MY2022 relative alla sicurezza della trasmissione dei dati degli utenti. In primo luogo, descriviamo una vulnerabilità in cui MY2022 non riesce a convalidare i certificati SSL, non riuscendo quindi a convalidare a chi sta inviando dati sensibili e crittografati. In secondo luogo, le MY2022 non riesce a proteggere le trasmissioni dei dati con alcuna crittografia.
Ancora, sebbene l’app utilizzi SSL, non convalida i certificati:
La nostra analisi ha rilevato che MY2022 non riesce a convalidare i certificati SSL, consentendo a un utente malintenzionato di falsificare server attendibili interferendo con la comunicazione tra l’app e questi server. Questa mancata convalida significa che l’app può essere indotta con l’inganno a connettersi a un host dannoso credendo che sia un host attendibile, consentendo l’intercettazione delle informazioni che l’app trasmette ai server e consentendo all’app di visualizzare contenuti contraffatti che sembrano provenire da server attendibili
Peggio ancora, alcuni dati non sono affatto crittografati, inclusi i dettagli di chi sta comunicando con chi.
Abbiamo anche scoperto che alcuni dati sensibili vengono trasmessi senza alcuna crittografia SSL o alcuna sicurezza. Abbiamo scoperto che MY2022 trasmette dati non crittografati a “tmail.beijing2022.cn” sulla porta 8099. Queste trasmissioni contengono metadati sensibili relativi ai messaggi, inclusi i nomi dei mittenti e dei destinatari dei messaggi e i loro identificatori di account utente
Tali dati possono essere letti da qualsiasi intercettatore passivo, come qualcuno nel raggio di un punto di accesso WiFi non protetto, qualcuno che gestisce un hotspot WiFi o un provider di servizi Internet o un’altra società di telecomunicazioni.
Inoltre, la versione per Android contiene un elenco di parole vietate, anche se tale funzione non viene ancora utilizzata attivamente.
In bundle con la versione Android di MY2022, abbiamo scoperto un file chiamato “illegalwords.txt” che contiene un elenco di 2.442 parole chiave generalmente considerate politicamente sensibili in Cina. Tuttavia, nonostante la sua inclusione nell’app, non siamo stati in grado di trovare alcuna funzionalità in cui queste parole chiave sono state utilizzate per eseguire la censura
Non è chiaro, allora, se questo elenco di parole chiave sia completamente inattivo e, in tal caso, se l’elenco sia stato reso inattivo intenzionalmente, o meno. Tuttavia, l’app contiene funzioni di codice progettate per sfruttare questo elenco al fine di censura.
