▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

L'app delle Olimpiadi di Pechino consente attacchi man-in-the-middle

Due falle nell’app MY2022 di cui devono fare uso tutti i partecipanti permettono agli attaccanti di accedere a informazioni riservate

Vulnerabilità

L’allarme sui problemi di cyber security legati alle Olimpiadi invernali di Pechino 2022 circola da tempo, per questo molti esperti di sicurezza stanno monitorando la situazione. Per fortuna, perché è emersa una falla nell’app MY2022 che tutti i partecipanti sono obbligati a usare per la documentazione sanitaria e di viaggio.

Nonostante l’app sia in grado di cifrare le informazioni che custodisce, è affetta da due falle nella gestione del trasferimento file che consentono di eludere la crittografia in maniera piuttosto banale. In sostanza, i cyber criminali possono attuare attacchi man-in-the-middle tramite cui impossessarsi dei dati sensibili degli utenti. Inoltre, anche le risposte del server possono essere falsificate, consentendo a un attaccante di mostrare istruzioni false agli utenti.

Il problema è stato rilevato dai ricercatori di The Citizen Lab, che il 3 dicembre lo hanno segnalato al Comitato organizzatore di Pechino per i Giochi olimpici e paraolimpici. D’abitudine i ricercatori danno 15 giorni di tempo per rispondere e 45 giorni di tempo per risolvere i problemi. Al 18 gennaio 2022 non era pervenuta risposta alcuna, e una verifica sulla versione 2.0.5 (l’ultimo aggiornamento) per iOS ha denotato le stesse falle. Anzi, la situazione è peggiorata perché è stata aggiunta la funzione "Green Health Code" anch’essa vulnerabile.


A questo punto non restava che destare l’attenzione internazionale per sollecitare la correzione dei problemi, da qui l’articolo sul blog ufficiale dell’azienda di cyber security. Secondo gli organizzatori, l’uso di MY2022 si è reso necessario per gestire in sicurezza l’evento in tempo di pandemia. Obbliga tutti i partecipanti, internazionali e nazionali, a monitorare e condividere giornalmente il proprio stato di salute tramite tampone.

Nel caso degli utenti internazionali, MY2022 colleziona informazioni demografiche, i dati del passaporto, l'organizzazione di appartenenza e le informazioni sanitarie (vaccinazioni, test COVID).

I problemi di security

Le falle scovate da Citizen Lab riguardano sia la versione 2.0.0 dell’app per iOS sia la versione 2.0.1 per Android. La prima consiste nel fatto che MY2022 non riesce a convalidare i certificati SSL, quindi non consente di verificare l’attendibilità dell’host a cui si stanno inviando i dati sensibili. Un attaccante potrebbe quindi spingere l’app a connettersi a un host dannoso facendo credere che sia attendibile.


La seconda vulnerabilità riguarda il fatto che alcuni dati sensibili vengono trasmessi senza crittografia SSL o altre soluzioni di sicurezza. Tali informazioni includono, per esempio, i metadati relativi ai messaggi (mittenti e destinatari), che possono potenzialmente essere letti da qualsiasi attaccante che si trovi nel raggio di un access point Wi-Fi non protetto, dai gestori degli hotspot Wi-Fi o dai provider di servizi Internet.

Secondo gli esperti, tali falle violano le policy degli store di Google e Apple, le leggi cinesi e gli standard di tutela della privacy nazionali e internazionali. I giochi olimpici prenderanno ufficialmente il via il 4 febbraio ed è urgente porre rimedio ai problemi perché notoriamente le Olimpiadi sono un obiettivo importante per i criminali informatici. Basti pensare che le infrastrutture delle Olimpiadi di Tokyo 2020 sono state bersagliate da 450 milioni di tentativi di attacchi informatici.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1