I ricercatori di un laboratorio tecnologico con sede a Toronto hanno scoperto martedì le vulnerabilità della sicurezza e i framework di censura in un’app relativa ai giochi delle Olimpiadi di Pechino 2022 in programma per il prossimo mese di febbraio.
I ricercatori canadesi hanno rilevato uno spyware, che hanno affermato essere un difetto “semplice ma devastante” nell’app “MY2022” sviluppata dal Beijing Financial Holdings Group. La vulnerabilità rende i file audio, i moduli sanitari e doganali che trasmettono i dettagli del passaporto e la cronologia medica e di viaggio per i giocatori insicuri e a rischio di essere compromessi. Secondo l’emittente canadese CBC, l’app è vulnerabile agli hacker.
Il laboratorio ha anche scoperto che il MY2022 non ha convalidato alcuni certificati SSL, l’infrastruttura digitale che utilizzava la crittografia per proteggere le app. Ciò rappresentava anche una minaccia per la sicurezza in quanto potrebbe consentire a persone non autorizzate di accedere alle informazioni mentre vengono trasmesse sul server. La vulnerabilità è stata rilevata presso il Citizen Lab, un istituto della Munk School of Global Affairs e della scuola di politica pubblica dell’Università di Toronto.
Dettagli a cui potranno accedere Pechino 2022, Comitati internazionali olimpici e paralimpici
L’app è progettata per svolgere varie altre funzioni come la navigazione GPS e le funzioni di chat di testo, video e audio e la possibilità di trasferire file e fornire notizie e aggiornamenti meteo. Non è chiaro con chi verranno condivise le informazioni mediche sensibili e i dettagli personali una volta inseriti nell’app. Ma si presume che i dettagli saranno accessibili da Pechino 2022, dai comitati internazionali olimpici e paralimpici, dalle autorità cinesi e “altri coinvolti nell’attuazione delle contromisure contro il covid 19”.
Cosa significa che l’app manca di convalida
“Questa mancata convalida significa che l’app può essere indotta con l’inganno a connettersi con host dannosi che ritiene attendibili, consentendo l’intercettazione delle informazioni che l’app trasmette ai server e gli aggressori di visualizzare istruzioni false agli utenti”, riferisce CBC.
Nel frattempo, Knockel, un ricercatore associato, che ha indagato sull’app dopo che un giornalista si è avvicinato a lui, sospettando delle funzioni di sicurezza, ha detto alla CBC: “Lo scenario peggiore è che qualcuno intercetta tutto il traffico e registra tutti i dettagli del passaporto, tutte le informazioni mediche particolari.” Ha aggiunto: “MY2022 delinea diversi scenari in cui divulgherà informazioni personali senza il consenso dell’utente, che includono ma non sono limitate a questioni di sicurezza nazionale, incidenti di salute pubblica e indagini penali”.
Gli organizzatori delle Olimpiadi avevano chiesto a tutti i partecipanti ai giochi, inclusi atleti, spettatori e membri dei media, di scaricare e iniziare a utilizzare l’app MY2022 e di inserire tutte le loro informazioni nell’app, comprese le informazioni relative alla salute e alle abitudini come il COVID- 19 risultati dei test e stato vaccinale. Non è chiaro se avessero chiesto l’ingiunzione del tribunale per ottenere l’accesso a queste informazioni e chi sarà idoneo a ricevere i dati.