MY2022: app olimpica con gravi vulnerabilità
Topic
Approfondimenti
Trending
tutti

MY2022: app olimpica con gravi vulnerabilità

I ricercatori di Citizen Lab hanno scoperto due gravi vulnerabilità nell'app MY2022 rilasciata dagli organizzatori delle Olimpiadi invernali di Pechino.
MY2022: app olimpica con gravi vulnerabilità
Sicurezza
I ricercatori di Citizen Lab hanno scoperto due gravi vulnerabilità nell'app MY2022 rilasciata dagli organizzatori delle Olimpiadi invernali di Pechino.
Pechino 2022

Le Olimpiadi invernali di Pechino sono già al centro di uno scontro geopolitico (gli Stati Uniti e altri paesi hanno annunciato un boicottaggio diplomatico). I ricercatori del Citizen Lab dell’università di Toronto hanno ora scoperto numerose vulnerabilità nell’app MY2022 che tutti i partecipanti ai giochi devono installare sui loro smartphone. Tra le informazioni che possono essere lette dai malintenzionati ci sono quelle relative allo stato di salute.

MY2022: sicurezza inesistente

L’app MY2022 per Android e iOS fornisce numerose informazioni ai partecipanti (atleti, pubblico e giornalisti), ma viene utilizzata anche per inserire i dati richiesti dal governo alle persone che arriveranno in Cina. Per effettuare il tracciamento di eventuali contagi è obbligatorio l’uso dell’app per monitorare lo stato di salute a partire da 14 giorni prima. Una delle funzionalità è la raccolta di informazioni sullo status vaccinale e i risultati dei test di laboratorio (tamponi).

Gli esperti di Citizen Lab hanno scoperto che nella policy sulla privacy di MY2022 non viene specificato chi gestisce i dati raccolti. Ma il pericolo più grave è rappresentato dalle vulnerabilità che consentono di intercettare i dati. L’app non controlla la validità dei certificati SSL, quindi un malintenzionato potrebbe “dirottare” la comunicazione verso un server specifico e registrare molti dati sensibili, come quelli medici.

Altri dati sono inviati addirittura in chiaro, quindi senza crittografia SSL. È sufficiente un access point o un hotspot WiFi per intercettare la comunicazione. I ricercatori hanno segnalato i problemi il 3 dicembre al comitato organizzatore, ma non hanno ricevuto nessuna risposta. L’ultima versione dell’app, rilasciata due giorni fa, è ancora vulnerabile. Il CIO ha dichiarato che l’installazione di MY2022 non è obbligatoria e che un’analisi indipendente non ha trovato nessuna vulnerabilità critica.

Citizen Lab ha scoperto anche un elenco di 2.442 keyword considerate illegali. L’app offre funzionalità di chat, news feed e trasferimento file. Le parole chiave vietate potrebbero indicare una possibile censura, ma al momento il filtro non è attivo. Per quanto riguarda le vulnerabilità, i ricercatori non possono stabilire se si tratta di errori di programmazione o di bug aggiunti intenzionalmente a scopo di sorveglianza.

Fonte: The Citizen Lab

Pubblicato il 19 gen 2022

Link copiato negli appunti

Ti potrebbe interessare

Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
PureVPN: quattro servizi in uno a meno di 4€ al mese

PureVPN: quattro servizi in uno a meno di 4€ al mese
Offerta imperdibile: CyberGhost VPN con l'83% di sconto e 4 mesi gratis

Offerta imperdibile: CyberGhost VPN con l'83% di sconto e 4 mesi gratis
Spyware: cosa sono e come rimuoverli

Spyware: cosa sono e come rimuoverli
Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)

Proteggiti dagli attacchi informatici con l'antivirus Malwarebytes Premium (nuova offerta)
PureVPN: quattro servizi in uno a meno di 4€ al mese

PureVPN: quattro servizi in uno a meno di 4€ al mese
Offerta imperdibile: CyberGhost VPN con l'83% di sconto e 4 mesi gratis

Offerta imperdibile: CyberGhost VPN con l'83% di sconto e 4 mesi gratis
Luca Colantuoni
Pubblicato il
19 gen 2022
Link copiato negli appunti