La aplicación de los Juegos Olímpicos de China es terriblemente insegura


La aplicación de los Juegos Olímpicos de China es terriblemente insegura

China exige que los atletas descarguen y usen una aplicación de salud y viajes cuando asistan a los Juegos Olímpicos de Invierno el próximo mes. Laboratorio ciudadano examinó la aplicación y lo encontró plagado de agujeros de seguridad.

Resultados clave:

  • MY2022, una aplicación obligatoria para el uso de todos los asistentes a los Juegos Olímpicos de 2022 en Beijing, tiene una falla uncomplicated pero devastadora en la que el cifrado que protege las transferencias de audio y archivos de voz de los usuarios puede eludirse trivialmente. Los formularios de aduanas de salud que transmiten detalles del pasaporte, información demográfica e historial médico y de viajes también son vulnerables. Las respuestas del servidor también pueden falsificarse, lo que permite que un atacante muestre instrucciones falsas a los usuarios.
  • MY2022 es bastante sencillo sobre los tipos de datos que recopila de los usuarios en sus documentos públicos. Sin embargo, dado que la aplicación recopila una variedad de información médica altamente confidencial, no está claro con quién u organización comparte esta información.
  • MY2022 incluye características que permiten a los usuarios denunciar contenido «políticamente reasonable». La aplicación también incluye una lista de palabras clave de censura que, aunque actualmente está inactiva, se enfoca en una variedad de temas políticos, incluidos asuntos internos como Xinjiang y el Tíbet, así como referencias a agencias gubernamentales chinas.
  • Si bien el proveedor no respondió a nuestra divulgación de seguridad, encontramos que los déficits de seguridad de la aplicación pueden no solo violar la Política de computer software no deseado de Google y las pautas de la tienda de aplicaciones de Apple, sino también las propias leyes de China y los estándares nacionales relacionados con la protección de la privacidad, lo que brinda posibles vías para futuras reparaciones. .

Noticias artículo:

No está claro si las fallas de seguridad fueron intencionales o no, pero el informe especula que el cifrado adecuado podría interferir con algunas de las omnipresentes herramientas de vigilancia en línea de China, especialmente los sistemas que permiten a las autoridades locales espiar teléfonos que usan redes inalámbricas públicas o cibercafés. Aún así, los investigadores agregaron que las fallas probablemente no fueron intencionales, porque el gobierno ya estará recibiendo datos de la aplicación, por lo que no sería necesario interceptar los datos a medida que se transfieren.

[…]

La aplicación también incluía una lista de 2422 palabras clave políticas, descritas dentro del código como «palabras ilegales.txt», que funcionaba como una lista de censura de palabras clave, según Citizen Lab. Los investigadores dijeron que la lista parecía ser una función latente que la función de chat y transferencia de archivos de la aplicación no estaba usando activamente.

El gobierno de EE.UU. ha ya aconsejado atletas que dejen sus teléfonos personales y computadoras portátiles en casa y traigan quemadores.

Publicado el 21 de enero de 2022 a las 6:06 a. m. • 1 comentario

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia primary