El investigador Jeffrey Knockel descubrió que MY2022 no valida ciertos certificados SSL, infraestructuras digitales que utilizan el cifrado para proteger las aplicaciones y garantizar que personas no autorizadas no puedan acceder a la información mientras se transmite.

Esta falla de autenticación significa que una aplicación podría ser engañada para conectarse a un host malicioso que confundió con un host confiable, lo que permite que la información que la aplicación transmite al servidor sea interceptada y que un atacante muestre instrucciones falsas al usuario.

«El peor de los casos es que alguien intercepte todo el tráfico y registre todos los detalles del pasaporte, todos los detalles médicos», dijo el asistente de investigación Knockel.

VER | El experto en seguridad cibernética de UofT expresa su preocupación por la aplicación de los Juegos Olímpicos de Beijing:

Los organizadores olímpicos solicitan a todos los participantes olímpicos, incluidos atletas, espectadores y miembros de los medios de comunicación, que descarguen y comiencen a usar la aplicación MY2022 para enviar información de salud y aduanas, como resultados de pruebas de COVID-19 y estado de vacunación, al menos 14 días antes de llegar. en China.

La aplicación de una empresa estatal llamada Beijing Financial Holding Group también proporciona navegación GPS y capacidades de chat de texto, video y audio, así como la capacidad de transferir archivos y proporcionar noticias y actualizaciones meteorológicas.

Knockel descubrió que no estaba claro con quién compartía la aplicación información médica altamente confidencial.

Revisa tu lista de palabras clave

El Manual Olímpico describe datos personales, como información biográfica y datos relacionados con la salud, que pueden ser implementados por Beijing 2022, los Comités Olímpico y Paralímpico Internacional, las autoridades chinas y “otros involucrados en la implementación de [COVID-19] contramedidas «

Knockel dijo que MY2022 describe varias situaciones en las que se divulga información personal sin el consentimiento del usuario, incluidos, entre otros, asuntos de seguridad nacional, eventos de salud pública e investigaciones criminales.

Sin embargo, la aplicación no especificó si se requería una orden judicial para acceder a esta información y quién era elegible para recibir los datos.

La lista incluye 2442 términos políticos, algunos relacionados con las tensiones en Xinjiang y el Tíbet, así como referencias a agencias gubernamentales chinas. La lista incluye frases chinas que se traducen como «los judíos son cerdos» y «los chinos son perros», el «Corán» uigur y palabras tibetanas que se refieren al Dalai Lama.

Knockel no puede encontrar evidencia de que la aplicación esté usando la lista.

«No sabemos si lo desactivarán o si lo activarán, pero de cualquier manera, se puede habilitar con solo presionar un interruptor», dijo Nock Er.

Citizen Lab reveló sus hallazgos sobre MY2022 al comité organizador el 3 de diciembre, dándoles 15 días para responder y 45 días para resolver los problemas antes de divulgarlos públicamente.

COI pide copias de informes de laboratorio

El 6 de enero se lanzó una nueva versión de MY2022 para usuarios de iOS, pero Citizen Lab dijo que la actualización no solucionó ningún problema. De hecho, Citizen Lab dice que la actualización introduce una nueva función de «código de salud verde» que recopila más datos médicos y es vulnerable a ataques debido a la falta de validación del certificado SSL.

BOCOG no respondió a una solicitud de comentarios.

El Comité Olímpico Internacional dijo en un comunicado que había solicitado una copia del informe de Citizen Lab para comprender mejor sus preocupaciones.

El COI señaló que había realizado una evaluación independiente de terceros de MY2022 con dos agencias de pruebas de seguridad cibernética y no encontró vulnerabilidades críticas en la aplicación.

Dijo en un comunicado que había aconsejado a los miembros del equipo de Canadá que mantuvieran los dispositivos personales en casa, limitaran la información personal almacenada en los dispositivos electrónicos traídos a los Juegos, se conectaran solo a Wi-Fi oficial y apagaran las transmisiones cuando no estén en uso y eliminen cualquier aplicación relacionada con los Juegos Olímpicos cuando ya no sea necesaria.

Knockel aconseja a cualquiera que se dirija a los Juegos Olímpicos que solo use la aplicación cuando esté conectado a una red en la que confíe, como una red privada virtual.

Los participantes olímpicos también deberían considerar mover las conversaciones y otras operaciones que no están obligadas a realizar en 2022 a otras aplicaciones más seguras, dijo.

«Pero es complicado», dijo. «Incluso si supieran sobre la falla de seguridad en la aplicación, probablemente no tenían otra opción».