onderzoekers van Burgerlab Ze ontdekten ernstige kwetsbaarheden in de MY2022-app. Deze applicatie is verplicht voor iedereen die de Olympische Winterspelen in China bijwoont. Dit zijn kwetsbaarheden waardoor applicatieversleuteling kan worden omzeild. Citizen Lab-onderzoekers noemen de defecten ‘eenvoudig maar verwoestend’.
De applicatie is verplicht voor aanwezigheidsspel
De MY2022-applicatie moet worden geïnstalleerd door alle deelnemers aan de Olympische Spelen in Peking. Dat geldt voor sporters, maar ook voor toeschouwers en journalisten. De applicatie is multifunctioneel. Je kunt onder andere in realtime met hem chatten, voicechatten en bestanden delen. De app bevat ook nieuws- en weerberichten over de Olympische Spelen.
Bovendien kunnen gebruikers met de app informatie verstrekken die nodig is bij een bezoek aan China vanuit het buitenland, zoals paspoortgegevens, demografische informatie, reisgeschiedenis en medische geschiedenis.
Dit laatste is een van de redenen waarom de aanvraag verplicht is. MY2022 maakt deel uit van het closed-loop managementsysteem om de verspreiding van het coronavirus te voorkomen. Tijdens de Spelen moeten deelnemers dagelijks worden getest. 14 dagen voordat ze naar China vertrekken, moeten ze MY2022 downloaden, hun gezondheid dagelijks controleren en indienen bij de aanvraag.
kritieke zwakheden
Citizen Lab heeft twee kwetsbaarheden in de applicatie gevonden met betrekking tot de beveiliging van de overdracht van gebruikersgegevens. Allereerst ontdekten de onderzoekers dat MY2022 geen SSL-certificaten valideert. Dit betekent dat de app niet verifieert naar wie gevoelige en versleutelde informatie wordt verzonden.
Door het beveiligingslek kan een aanvaller zich voordoen als vertrouwde servers om de communicatie tussen de applicatie en de servers te verstoren. Op deze manier heeft het toegang tot gevoelige demografische, paspoort-, reis- en medische informatie van de app-gebruiker. Volgens Citizen Lab is het ook mogelijk om via een formulier kwaadaardige instructies naar een gebruiker te sturen, spraakberichten te versturen en bestanden van de gebruiker voor te lezen. Volgens onderzoekers is niet alle communicatie onveilig. In het rapport noemen ze een aantal servers die gevaar lopen.
De tweede kwetsbaarheid betreft de encryptie van gevoelige data. Citizen Lab-onderzoekers hebben ontdekt dat sommige gevoelige gegevens worden verzonden zonder enige vorm van versleuteling. Er werden bijvoorbeeld niet-versleutelde gegevens naar een mailserver gestuurd.
Hierdoor kunnen aanvallers gevoelige metadata lezen, inclusief de namen van afzenders en ontvangers van berichten, en hun gebruikersaccount-ID’s. Volgens de onderzoekers kan elke passieve afluisteraar deze gegevens lezen. Bijvoorbeeld iemand op dezelfde wifi-hotspot, ISP of een andere provider.
Censuur en privacybeleid
Naast de kwetsbaarheden heeft Citizen Lab ook ontdekt dat de app medische informatie deelt met onder meer de Chinese overheid. Dit wordt niet vermeld in het privacybeleid van MY2022. In de officiële Olympische tekst staat echter dat persoonsgegevens zullen worden gedeeld met verschillende partijen, waaronder het Internationaal Olympisch Comité (IOC), het organisatiecomité van Peking 2022, Chinese autoriteiten (inclusief regering en lokale autoriteiten) en anderen.
Ten slotte ontdekten de onderzoekers dat MY2022 gebruikers in staat stelt om onder andere “politiek gevoelige inhoud” te melden. De app bevat ook een lijst met censuurwoorden: verboden termen in verschillende talen over politieke onderwerpen als Xinjian en Tibet, en verwijzingen naar Chinese overheidsinstanties.
Citizen Lab-onderzoekers zeiden in het rapport dat ze de kwetsbaarheden in december vorig jaar deelden met de Chinese Olympische organisatie. Tot nu toe heeft Citizen Lab geen reactie ontvangen. De Olympische Spelen worden gehouden van 4-20 februari 2022.
“Valt vaak neer. Subtiel charmante tv-liefhebber. Toegewijde internetfan. Muziekbeoefenaar.”