Des failles de sécurité découvertes dans l’application My2022 pour les Jeux olympiques d’hiver de Pékin

Une application que les visiteurs de Jeux olympiques de 2022 à Pékin sont obligés de télécharger aussi un cauchemar de cybersécurité qui menace d’exposer une grande partie des données qu’il collecte, selon un nouveau rapport.

MY2022, l’appli incontournable des visiteurs du W cette annéeentre Games, offre une variété de services, y compris des recommandations de visites, une surveillance de la santé liée à Covid et une navigation GPS. Il a été conçu par le Comité d’organisation de Pékin et appartient officiellement à une société chinoise soutenue par l’État, Beijing Financial Holdings Group. ÇAlors que l’application est censée offrir une expérience de visiteur élargie, les chercheurs ont découvert il collecte également une grande quantité d’informations personnelles sur ses utilisateurs qu’il ne fait apparemment aucun effort pour protéger.

selon un nouveau rapport des chercheurs du numérique du Citizen Lab de l’Université de Toronto, l’application est si peu sécurisée qu’elle pourrait enfreindre la propre loi chinoise sur la sécurité des données, la loi chinoise sur la protection des informations personnelles, Quel est entré en vigueur fin de l’année dernière et doit assurer la protection des données de base pour les citoyens chinois. L’application peut également enfreindre Politique de Google sur les logiciels indésirables, qui aide à éliminer les applications malveillantes de l’écosystème Android, ainsi que les directives de l’App Store d’Apple, note le rapport.

Les chercheurs ont analysé la version 2.0.0 pour iOS et la version 2.0.1 pour Android, constatant que les deux semblaient souffrir de lacunes similaires dans la façon dont elles gèrent le cryptage et la transmission des données.

Selon le Laboratoire Citoyen, l’application ne fonctionne généralement pas valider les certificats SSL- ce qui signifie qu’il ne vérifie pas où il envoie réellement les données qu’il transmet. Cela met en place des utilisateurs potentiels meuh-non-minactif les cyberattaques, dans lesquelles un attaquant peut usurper une connexion à un site Web légitime et ainsi voler des données envoyées par l’application. Dans le même temps, les chercheurs ont constaté que l’application transmet également certains types de métadonnées sans quelconque type de cryptage SSL ou autre protection de sécurité, le laissant ouvert à l’inspection publique dans certains cas.

En bref, malgré la collecte de grandes quantités d’informations sensibles sur la santé et les voyages de ses utilisateurs (pensez aux détails du passeport, aux antécédents médicaux, aux données démographiques, etc.), MY2022 n’a mis en place aucune garantie pour vous protéger. Les chercheurs disent avoir révélé ces problèmes au comité d’organisation de Pékin il y a plus d’un mois, le 3 décembre, mais n’ont jamais eu de réponse.

Nous avons contacté le comité d’organisation de Pékin pour commenter cette histoire et nous mettrons à jour s’ils répondent.

Bien que le comité de Pékin n’ait jamais répondu à Citizen Lab, cette Il a fait a récemment publié une nouvelle version de l’application – 2.0.5 pour iOS – qui non seulement ne résout tous les problèmes de sécurité signalés, mais en a apparemment introduit un nouveau : La dernière version de l’application comprend une nouvelle fonctionnalité, appelée Green Health Code, conçue pour gérer les documents de voyage et les données de santé qui, comme ses autres fonctionnalités, transmettent des données de manière non sécurisée, écrivent les chercheurs.

Étant donné le statut de la Chine en tant que un géant de la surveillance, il pourrait être tentant de voir ce projet de sécurité de mauvaise qualité comme une sorte de plan délibéré du gouvernement chinois pour aspirer les informations sur les visiteurs. ET alors que MY2022 peut sembler suspect, Citizen Lab en déduit que cela pourrait être quelque chose de tout à fait moins sinistre que cela. Ils notent qu’une grande partie des données laissées vulnérables au vol sont déjà collectées ouvertement par le gouvernement chinois (la politique de confidentialité de l’application l’explique) – il y aurait donc peu de raisons de mettre en œuvre une solution de surveillance alternative. Le rapport note également que la sécurité numérique n’est pas si bonne dans l’écosystème d’applications chinois. général, et il se pourrait donc que les développeurs de MY2022 aient simplement créé une application merdique, pas sournoise.

“Nous pensons qu’un manque de sécurité aussi répandu est moins susceptible d’être le résultat d’un vaste complot gouvernemental, mais plutôt le résultat d’une explication plus simple, telle que des priorités différentes pour les développeurs de logiciels en Chine”, écrivent les chercheurs à propos des failles de sécurité. ..