Investigadores de un laboratorio tecnológico en Toronto descubrieron fallas de seguridad y un marco de censura en una aplicación que todos los participantes de los Juegos Olímpicos de Beijing 2022 deben usar.

Citizen Lab, un instituto de investigación de software espía de la Escuela Munch de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, descubrió una falla “simple pero dañina” en la aplicación MY2022 que permitía que los archivos de audio, los formularios de salud y aduanas transmitieran detalles del pasaporte, así como información médica. e historial de viajes vulnerable a la piratería.

El investigador Jeffrey Knockel descubrió que MY2022 no valida ciertos certificados SSL, infraestructuras digitales que utilizan el cifrado para proteger las aplicaciones y garantizar que personas no autorizadas no puedan acceder a la información mientras se transmite.

Esta falla de autenticación significa que una aplicación podría ser engañada para conectarse a un host malicioso que confundió con un host confiable, lo que permite que la información que la aplicación transmite al servidor sea interceptada y que un atacante muestre instrucciones falsas al usuario.

“El peor de los casos es que alguien intercepte todo el tráfico y registre todos los detalles del pasaporte, todos los detalles médicos”, dijo el asistente de investigación Knockel.

VER | El experto en seguridad cibernética de UofT expresa su preocupación por la aplicación de los Juegos Olímpicos de Beijing:

Expertos en ciberseguridad prestan atención a la APP de los Juegos Olímpicos de Beijing 2022

Los expertos en seguridad cibernética de la Universidad de Toronto han expresado su preocupación por la aplicación My2022, requerida por todos los participantes en los Juegos Olímpicos de Invierno de Beijing. 3:44

READ  Importancia del partido del Real Madrid en Nápoles: El segundo - COPE - Juanma Castaño advierte

Los organizadores olímpicos solicitan a todos los participantes olímpicos, incluidos atletas, espectadores y miembros de los medios de comunicación, que descarguen y comiencen a usar la aplicación MY2022 para enviar información de salud y aduanas, como resultados de pruebas de COVID-19 y estado de vacunación, al menos 14 días antes de llegar. en China.

La aplicación de una empresa estatal llamada Beijing Financial Holding Group también proporciona navegación GPS y capacidades de chat de texto, video y audio, así como la capacidad de transferir archivos y proporcionar noticias y actualizaciones meteorológicas.

Knockel descubrió que no estaba claro con quién compartía la aplicación información médica altamente confidencial.

Revisa tu lista de palabras clave

El Manual Olímpico describe datos personales, como información biográfica y datos relacionados con la salud, que pueden ser implementados por Beijing 2022, los Comités Olímpico y Paralímpico Internacional, las autoridades chinas y “otros involucrados en la implementación de [COVID-19] contramedidas “

Knockel dijo que MY2022 describe varias situaciones en las que se divulga información personal sin el consentimiento del usuario, incluidos, entre otros, asuntos de seguridad nacional, eventos de salud pública e investigaciones criminales.

Sin embargo, la aplicación no especificó si se requería una orden judicial para acceder a esta información y quién era elegible para recibir los datos.

Un problema final que encontró Knockel fue que la aplicación permitía a los usuarios informar sobre contenido “políticamente sensible” y descubrió que tenía una lista de palabras clave censuradas.

La lista incluye 2442 términos políticos, algunos relacionados con las tensiones en Xinjiang y el Tíbet, así como referencias a agencias gubernamentales chinas. La lista incluye frases chinas que se traducen como “los judíos son cerdos” y “los chinos son perros”, el “Corán” uigur y palabras tibetanas que se refieren al Dalai Lama.

READ  El corredor de Halifax Dennis Mbelenzi gana el Maratón de la Nariz Azul

Knockel no puede encontrar evidencia de que la aplicación esté usando la lista.

“No sabemos si lo desactivarán o si lo activarán, pero de cualquier manera, se puede habilitar con solo presionar un interruptor”, dijo Nock Er.

Citizen Lab reveló sus hallazgos sobre MY2022 al comité organizador el 3 de diciembre, dándoles 15 días para responder y 45 días para resolver los problemas antes de divulgarlos públicamente.

COI pide copias de informes de laboratorio

El 6 de enero se lanzó una nueva versión de MY2022 para usuarios de iOS, pero Citizen Lab dijo que la actualización no solucionó ningún problema. De hecho, Citizen Lab dice que la actualización introduce una nueva función de “código de salud verde” que recopila más datos médicos y es vulnerable a ataques debido a la falta de validación del certificado SSL.

BOCOG no respondió a una solicitud de comentarios.

El Comité Olímpico Internacional dijo en un comunicado que había solicitado una copia del informe de Citizen Lab para comprender mejor sus preocupaciones.

El COI señaló que había realizado una evaluación independiente de terceros de MY2022 con dos agencias de pruebas de seguridad cibernética y no encontró vulnerabilidades críticas en la aplicación.

Mientras tanto, el Comité Olímpico Canadiense no respondió específicamente al informe, pero dijo que había recordado a todos los miembros del Equipo de Canadá que los Juegos Olímpicos presentan una oportunidad única para el delito cibernético y que deben tener especial cuidado con estos riesgos.

Dijo en un comunicado que había aconsejado a los miembros del equipo de Canadá que mantuvieran los dispositivos personales en casa, limitaran la información personal almacenada en los dispositivos electrónicos traídos a los Juegos, se conectaran solo a Wi-Fi oficial y apagaran las transmisiones cuando no estén en uso y eliminen cualquier aplicación relacionada con los Juegos Olímpicos cuando ya no sea necesaria.

READ  Bailey recibe atención por problemas renales y cardíacos a medida que el cáncer empeora

Knockel aconseja a cualquiera que se dirija a los Juegos Olímpicos que solo use la aplicación cuando esté conectado a una red en la que confíe, como una red privada virtual.

Los participantes olímpicos también deberían considerar mover las conversaciones y otras operaciones que no están obligadas a realizar en 2022 a otras aplicaciones más seguras, dijo.

“Pero es complicado”, dijo. “Incluso si supieran sobre la falla de seguridad en la aplicación, probablemente no tenían otra opción”.