Revelan vulnerabilidades en la aplicación de los Juegos Olímpicos de Invierno de Beijing
La aplicación móvil que todos los asistentes y atletas de los próximos Juegos Olímpicos de Invierno de Beijing deben usar tiene varias vulnerabilidades. La aplicación será utilizada para administrar las comunicaciones y la documentación en el evento. Sin embargo, la aplicación tiene una “devastadora” vulnerabilidad en la forma en que cifra los datos.
Según los investigadores, la vulnerabilidad puede permitir ataques de hombre en el medio para acceder a información confidencial del usuario.
My 2022 es una aplicación que deben usar obligatoriamente todos los asistentes, incluidos los periodistas y los atletas, de los Juegos Olímpicos de 2022 en Beijing. El problema es que presenta un riesgo de seguridad significativo. Esto porque el cifrado utilizado para proteger las transferencias de audio y archivos de voz de los usuarios “puede ser eludido de manera trivial”. El cifrado puede ser burlado debido a dos vulnerabilidades en la forma en que administra el transporte de datos, según una publicación realizada por Citizen Lab.
Además, según la investigación, “las respuestas del servidor también pueden falsificarse, lo que permite que un atacante muestre instrucciones falsas a los usuarios”.
My 2022 recopila información como formularios de salud que transmiten detalles del pasaporte, información demográfica e historial médico y de viaje. Toda esa información es vulnerable. Tampoco está claro con quién o qué organizaciones se comparte dicha información.
My 2022 también incluye una función que permite a los usuarios denunciar contenido “políticamente sensible”, así como una lista de palabras clave de censura. Si bien esta última está “actualmente inactiva”, se enfoca en una variedad de temas políticos, incluidos problemas internos como Xinjiang y el Tíbet. Asimismo, incluye referencias a agencias gubernamentales chinas.
Antecedentes y divulgación
Los investigadores revelaron los problemas de seguridad al Comité Organizador de los Juegos Olímpicos y Paralímpicos de Invierno de 2022 de Beijing el 3 de diciembre de 2021. Es decir, les dieron a los organizadores un plazo de 15 días para responder y 45 días para solucionar los problemas. Hasta anteayer, 18 de enero de 2022, los investigadores aún no habían recibido una respuesta.
Los investigadores de Citizen Lab también inspeccionaron el lanzamiento del 17 de enero de la versión 2.0.5 de My 2022 para iOS en la App Store de Apple y descubrieron que los problemas reportados aún no se habían solucionado. Además, esa versión de la aplicación introdujo una nueva característica llamada “Código de salud verde”. Esta solicita documentos de viaje e información médica de los usuarios que también son vulnerables a las fallas.
My 2022 se está utilizando como parte de un sistema de circuito cerrado implementado debido a las restricciones de COVID-19. El sistema requiere que todos los asistentes nacionales e internacionales controlen y envíen su estado de salud, por ejemplo, una prueba negativa para el virus, a la aplicación diariamente.
Para los usuarios domésticos, My 2022 recopila información personal, incluido el nombre, el número de identificación nacional y el número de teléfono. Además, recopila la dirección de correo electrónico, la imagen de perfil y la información laboral, y la comparte con el Comité Organizador de los Juegos Olímpicos de Beijing 2022. Para usuarios internacionales, la aplicación recopila información demográfica y de pasaporte de los usuarios, así como la organización a la que pertenecen.
Características que no funcionan
Citizen Lab descubrió dos vulnerabilidades en la aplicación relacionadas con la seguridad de cómo transmite los datos del usuario. Los investigadores examinaron la versión 2.0.0 de iOS de My 2022 y la versión 2.0.1 de Android en su análisis.
“Aunque solo pudimos crear una cuenta y, por lo tanto, examinar completamente la versión de iOS de My 2022, según nuestro mejor entendimiento, las vulnerabilidades descritas a continuación parecen existir en las versiones de iOS y Android de My 2022”. Jeffrey Knockel de Citizen Lab
La primera vulnerabilidad descubierta en My 2022 es que no valida los certificados SSL. Por lo tanto, no valida a la parte a la que envía datos cifrados confidenciales. Esto permite que un atacante falsifique servidores confiables al interferir con la comunicación entre la aplicación y estos servidores.
Esta vulnerabilidad en la validación significa que la aplicación puede ser engañada para conectarse a un host malicioso mientras se cree que es un host confiable. Es decir, permite que la información que la aplicación transmite a los servidores sea interceptada y permite que la aplicación muestre contenido falsificado que parece originarse en servidores confiables.
Aunque algunas conexiones que creó la aplicación no eran vulnerables, las conexiones SSL con al menos los siguientes servidores son vulnerables: my2022.beijing2022.cn, tmail.beijing2022.cn, dongaoserver.beijing2022.cn, app.bcia.com.cn y health.customapp.com.
Más vulnerabilidades
La otra vulnerabilidad que los investigadores encontraron en My 2022 es que algunos datos confidenciales se transmiten sin cifrado SSL ni ningún tipo de seguridad. La aplicación transmite datos no cifrados, incluidos los metadatos confidenciales relacionados con los mensajes y los nombres de los remitentes y receptores de mensajes y los identificadores de sus cuentas de usuario, a “tmail.beijing2022.cn” en el puerto 8099.
Tales datos pueden ser leídos por cualquier intruso pasivo, como alguien dentro del alcance de un punto de acceso Wi-Fi no seguro. Es decir, alguien que opera un punto de acceso Wi-Fi o un proveedor de servicios de Internet u otra compañía de telecomunicaciones.
Aumentando la polémica
Los investigadores creen que las vulnerabilidades de la aplicación pueden no solo violar la Política de software no deseado de Google y las pautas de la tienda de aplicaciones de Apple. También rompen las propias leyes de China y los estándares nacionales relacionados con la protección de la privacidad
De hecho, la inseguridad de la aplicación es preocupante en vísperas de los Juegos Olímpicos, que comenzarán el 4 de febrero, que ya han generado controversia. Ya en febrero de 2021, más de 180 grupos de derechos humanos habían pedido a los gobiernos que boicotearan los juegos. Esto debido a la preocupación de que legitimarían un régimen chino. Según ellos, actualmente el régimen comete importantes violaciones de los derechos humanos, en particular contra el pueblo uigur en China.
Los gobiernos, incluidos Canadá, el Reino Unido y los Estados Unidos, están boicoteando diplomáticamente los juegos. Esto significa que los atletas de estos países pueden competir, pero los delegados gubernamentales no asistirán al evento.
Las vulnerabilidades en My 2022 también son preocupantes porque se sabe que los Juegos Olímpicos son un objetivo importante para los ciberdelincuentes. Los Juegos Olímpicos de Verano del año pasado en Japón vieron más de 450 millones de intentos de ciberataques. Esto representó un aumento significativo de los 180 millones de ataques que ocurrieron durante los Juegos Olímpicos de Verano de Londres 2012.
Problemas de privacidad en las aplicaciones
Desafortunadamente, los problemas de seguridad encontrados en My 2022, si bien son preocupantes, no son únicos y probablemente se encuentren en muchas aplicaciones móviles. Tales problemas han provocado una epidemia de ataques cibernéticos contra dispositivos con poca seguridad en las aplicaciones.
“No todas las aplicaciones móviles son susceptibles a los ataques de intermediarios. Empero, la mayoría de ellas contienen terceros no revelados que pueden acceder a los mismos datos de usuario que el desarrollador”, afirmó un investigador.
Los usuarios de dispositivos móviles con frecuencia asumen que están seguros debido a las políticas de la tienda de aplicaciones o porque han aceptado los términos del servicio. Sin embargo, los revisores de aplicaciones no verifican cuidadosamente a los terceros, y rara vez se les supervisa por seguridad.
Debido a esto, estas aplicaciones pueden ser secuestradas para ejecutar ataques de phishing, compartir datos confidenciales con terceros,o sufrir una infracción de datos causada por prácticas de seguridad poco estrictas o algo peor.
