Una aplicación que los visitantes del Juegos Olímpicos de 2022 en Beijing están obligados a descargar también una pesadilla de ciberseguridad que amenaza con exponer gran parte de los datos que recopila, según un nuevo informe.
MY2022, la app obligatoria para los visitantes de la W de este añoentre Games, ofrece una variedad de servicios, que incluyen recomendaciones de turismo, monitoreo de salud relacionado con Covid y navegación GPS. Fue diseñado por el Comité Organizador de Beijing. y es propiedad oficial de una empresa china respaldada por el estado, Beijing Financial Holdings Group. WSi bien se supone que la aplicación proporciona una experiencia de visitante amplificada, los investigadores encontraron también recopila una gran cantidad de información personal sobre sus usuarios que aparentemente no dedica ningún esfuerzo a asegurar.
De acuerdo a un nuevo reporte de investigadores digitales con Citizen Lab en la Universidad de Toronto, la aplicación es tan insegura que puede violar la propia ley de seguridad de datos de China, la Ley de Protección de Información Personal de China, cual entró en vigor a finales del año pasado y se supone que garantiza la protección de datos básicos para los ciudadanos chinos. La aplicación también puede estar en violación de Política de software no deseado de Google, que ayuda a eliminar aplicaciones maliciosas en el ecosistema de Android, así como las pautas de la App Store de Apple, señala el informe.
Los investigadores analizaron la versión 2.0.0 para iOS y la versión 2.0.1 para Android y descubrieron que ambas parecían sufrir deficiencias similares en la forma en que manejan el cifrado y la transmisión de datos.
Según Citizen Lab, la aplicación a menudo falla validar certificados SSL—lo que significa que no verifica dónde está enviando realmente los datos que transmite. Esto prepara a los usuarios para potenciales metroun-en-el-mocioso ciberataques, en los que un atacante podría falsificar una conexión a un sitio web legítimo y, por lo tanto, robar datos enviados por la aplicación. Al mismo tiempo, los investigadores descubrieron que la aplicación también transmite ciertos tipos de metadatos sin ningún tipo de encriptación SSL u otra protección de seguridad, dejándolo completamente abierto para la inspección pública en ciertos casos.
G/O Media puede recibir una comisión
En resumen, a pesar de recopilar grandes cantidades de información confidencial sobre salud y viajes de sus usuarios (piense en: detalles del pasaporte, historial médico, datos demográficos, etc.), MY2022 carece de salvaguardas para protegerlo. Los investigadores dicen que revelaron estos problemas al Comité Organizador de Beijing hace más de un mes, el 3 de diciembre, pero nunca recibieron respuesta.
Nos comunicamos con el Comité Organizador de Beijing para comentar sobre esta historia y lo actualizaremos si responden.
Si bien el comité de Beijing nunca respondió a Citizen Lab, eso hizo lanzó recientemente una versión más nueva de la aplicación, 2.0.5 para iOS, que no solo no solucionó cualquiera de los problemas de seguridad informados pero aparentemente introdujo uno nuevo: La versión más reciente de la aplicación incluye una nueva función, llamada Green Health Code, diseñada para manejar documentos de viaje y datos de salud que, al igual que sus otras funciones, transmite datos de manera insegura, escriben los investigadores.
Dada la condición de China como un goliat de vigilancia, podría ser tentador ver este diseño de seguridad de mala calidad como una especie de complot del gobierno chino para absorber la información de los visitantes. Y Si bien MY2022 puede parecer sospechoso, Citizen Lab deduce que podría ser algo mucho menos siniestro que eso. Señalan que gran parte de los datos que han quedado vulnerables al robo ya están siendo recopilados abiertamente por el gobierno chino (la política de privacidad de la aplicación explica esto), por lo que habría pocas razones para implementar una solución alternativa de vigilancia. El informe también señala que la seguridad digital no es tan buena en el ecosistema de aplicaciones chino. general, y, por lo tanto, podría ser el caso de que los desarrolladores de MY2022 simplemente crearon una aplicación de mierda, no una astuta.
“Creemos que es menos probable que una falta de seguridad tan generalizada sea el resultado de una gran conspiración del gobierno, sino el resultado de una explicación más simple, como las diferentes prioridades para los desarrolladores de software en China”, escriben los investigadores sobre las fallas de seguridad..
.