Des failles de sécurité découvertes dans l’application My2022 pour les Jeux olympiques d’hiver de Pékin

Une application utilisée par les visiteurs Jeux olympiques de 2022 A Pékin est également obligé de télécharger Un cauchemar de cybersécurité menace d’exposer une grande partie des données que vous collectez, selon un nouveau rapport.

Modèle 2022Application obligatoire pour les visiteurs du W Show de cette annéeentre Games, une variété de services – y compris des recommandations touristiques, une surveillance de la santé liée à Covid et une navigation GPS. Il a été conçu par le Comité d’organisation de Pékin Il appartient officiellement à une société chinoise soutenue par l’État, Beijing Financial Holding Group. OLes chercheurs ont découvert que l’application est censée offrir une excellente expérience aux visiteurs Ils collectent également une multitude d’informations personnelles sur leurs utilisateurs qu’ils ne semblent faire aucun effort pour sécuriser.

Selon nouveau rapport D’après des chercheurs numériques du Citizen Lab de l’Université de Toronto, l’application est si peu sécurisée qu’elle peut enfreindre la loi chinoise sur la sécurité des données, la loi chinoise sur la protection des informations personnelles, Qui est entré en vigueur à la fin de l’année dernière Il est censé assurer la protection des données de base des citoyens chinois. L’application peut également enfreindre Règlement de Google sur les logiciels potentiellement indésirablesLe rapport indique qu’il aide à éliminer les applications malveillantes de l’écosystème Android, ainsi que les directives de l’App Store d’Apple.

Les chercheurs ont examiné la version 2.0.0 pour iOS et la version 2.0.1 pour Android, et ont constaté que les deux semblaient présenter des lacunes similaires dans la manière dont elles gèrent le cryptage et la transmission des données.

Selon CitizenLabL’application échoue souvent à le faire Valider les certificats SSL– ce qui signifie qu’il ne vérifie pas où il envoie les données qu’il envoie réellement. Cela prépare les utilisateurs au potentiel Mun-dans-le-mmoyen Les cyberattaques, où un attaquant peut usurper une connexion à un site Web légitime et ainsi voler des données envoyées par application. Dans le même temps, les chercheurs ont découvert que l’application transmet également certains types de métadonnées sans elle. Qui Une sorte de cryptage SSL ou une autre protection de sécurité – ce qui le laisse largement ouvert à l’examen public dans certains cas.

En bref, malgré la collecte de grandes quantités d’informations sensibles sur la santé et les voyages de ses utilisateurs (pensez aux détails du passeport, aux antécédents médicaux, aux données démographiques, etc.), MY2022 ne dispose pas des garanties nécessaires pour le protéger. Les chercheurs disent avoir révélé ces problèmes au comité d’organisation à Pékin il y a plus d’un mois, le 3 décembre, mais n’ont reçu aucune réponse.

Nous avons contacté le comité d’organisation de Pékin pour obtenir des commentaires sur cette histoire et nous le mettrons à jour s’ils répondent.

Alors que la commission de Pékin n’a pas répondu à Citizen Lab, Il elle J’ai fait J’ai récemment publié une nouvelle version de l’application – 2.0.5 pour iOS – et ce n’est pas Correction de tous les problèmes de sécurité signalés, mais il semble qu’un nouveau problème ait été introduit : La dernière version de l’application comprend une nouvelle fonctionnalité, appelée Green Health Code, conçue pour gérer les documents de voyage et les données de santé qui, comme ses autres fonctionnalités, transmettent des données de manière non sécurisée, ont écrit les chercheurs.

Vu la situation de la Chine Montre GoliathIl peut être tentant de voir cette conception de sécurité de mauvaise qualité comme une sorte de complot du gouvernement chinois pour aspirer les informations des visiteurs. Et Bien que MY2022 puisse sembler suspect, Citizen Lab conclut que cela pourrait être quelque chose de moins sinistre que cela. Notez qu’une grande partie des données qui restent vulnérables sont déjà ouvertement collectées par le gouvernement chinois (la politique de confidentialité de l’application l’indique clairement) – il y aurait donc peu de raisons de mettre en œuvre une solution de contournement pour la surveillance. Le rapport note également que la sécurité numérique n’est pas bonne dans le système d’application chinois ComprisAinsi, il se peut que les développeurs de MY2022 aient simplement créé une mauvaise application, pas une application sournoise.

« Nous pensons qu’un manque de sécurité aussi répandu est peu susceptible d’être le résultat d’un vaste complot gouvernemental, mais plutôt le résultat d’une explication plus simple telle que des priorités différentes pour les développeurs de logiciels en Chine », ont écrit les chercheurs à propos des défaillances de sécurité..