Due falle nell’app MY2022 di cui devono fare uso tutti i partecipanti permettono agli attaccanti di accedere a informazioni riservate
Autore: Redazione SecurityOpenLab
L’allarme sui problemi di cyber security legati alle Olimpiadi invernali di Pechino 2022 circola da tempo, per questo molti esperti di sicurezza stanno monitorando la situazione. Per fortuna, perché è emersa una falla nell’app MY2022 che tutti i partecipanti sono obbligati a usare per la documentazione sanitaria e di viaggio.
Nonostante l’app sia in grado di cifrare le informazioni che custodisce, è affetta da due falle nella gestione del trasferimento file che consentono di eludere la crittografia in maniera piuttosto banale. In sostanza, i cyber criminali possono attuare attacchi man-in-the-middle tramite cui impossessarsi dei dati sensibili degli utenti. Inoltre, anche le risposte del server possono essere falsificate, consentendo a un attaccante di mostrare istruzioni false agli utenti.
Il problema è stato rilevato dai ricercatori di The Citizen Lab, che il 3 dicembre lo hanno segnalato al Comitato organizzatore di Pechino per i Giochi olimpici e paraolimpici. D’abitudine i ricercatori danno 15 giorni di tempo per rispondere e 45 giorni di tempo per risolvere i problemi. Al 18 gennaio 2022 non era pervenuta risposta alcuna, e una verifica sulla versione 2.0.5 (l’ultimo aggiornamento) per iOS ha denotato le stesse falle. Anzi, la situazione è peggiorata perché è stata aggiunta la funzione "Green Health Code" anch’essa vulnerabile.
A questo punto non restava che destare l’attenzione internazionale per sollecitare la correzione dei problemi, da qui l’articolo sul blog ufficiale dell’azienda di cyber security. Secondo gli organizzatori, l’uso di MY2022 si è reso necessario per gestire in sicurezza l’evento in tempo di pandemia. Obbliga tutti i partecipanti, internazionali e nazionali, a monitorare e condividere giornalmente il proprio stato di salute tramite tampone.
Nel caso degli utenti internazionali, MY2022 colleziona informazioni demografiche, i dati del passaporto, l'organizzazione di appartenenza e le informazioni sanitarie (vaccinazioni, test COVID).
Le falle scovate da Citizen Lab riguardano sia la versione 2.0.0 dell’app per iOS sia la versione 2.0.1 per Android. La prima consiste nel fatto che MY2022 non riesce a convalidare i certificati SSL, quindi non consente di verificare l’attendibilità dell’host a cui si stanno inviando i dati sensibili. Un attaccante potrebbe quindi spingere l’app a connettersi a un host dannoso facendo credere che sia attendibile.
La seconda vulnerabilità riguarda il fatto che alcuni dati sensibili vengono trasmessi senza crittografia SSL o altre soluzioni di sicurezza. Tali informazioni includono, per esempio, i metadati relativi ai messaggi (mittenti e destinatari), che possono potenzialmente essere letti da qualsiasi attaccante che si trovi nel raggio di un access point Wi-Fi non protetto, dai gestori degli hotspot Wi-Fi o dai provider di servizi Internet.
Secondo gli esperti, tali falle violano le policy degli store di Google e Apple, le leggi cinesi e gli standard di tutela della privacy nazionali e internazionali. I giochi olimpici prenderanno ufficialmente il via il 4 febbraio ed è urgente porre rimedio ai problemi perché notoriamente le Olimpiadi sono un obiettivo importante per i criminali informatici. Basti pensare che le infrastrutture delle Olimpiadi di Tokyo 2020 sono state bersagliate da 450 milioni di tentativi di attacchi informatici.