My2022, la aplicación móvil complementaria para los próximos Juegos Olímpicos de Invierno de Beijing 2022, que las autoridades chinas supuestamente han ordenado que todos los participantes y asistentes descarguen en sus dispositivos móviles, está plagada de fallas de seguridad cibernética que la dejan abierta a la explotación.
Esto es según los investigadores del Citizen Lab de Canadá, un laboratorio interdisciplinario con sede en la Escuela Munk de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, que saltó a la fama en 2021 por su papel en la exposición del uso ilícito y poco ético de Pegasus por parte de varios gobiernos. aplicación de spyware “legítima”.
La aplicación My2022 se factura como un servicio multipropósito, que incorpora funcionalidades como chat en tiempo real, incluido chat de audio de voz, transferencias de archivos y actualizaciones de noticias y clima.
Para los visitantes de China, incluidos los medios acreditados y los atletas, también sirve como un medio para enviar la información de salud que ahora se requiere para ingresar al país, como los registros de vacunación contra el covid-19, los resultados de las pruebas y, una vez en China, los autoinformes diarios. .
Según Citizen Lab, la vulnerabilidad de seguridad más importante se relaciona con la falla de la aplicación para validar correctamente los certificados SSL, lo que significa que no puede validar a quién está enviando datos confidenciales del usuario. Esto lo deja abierto a un ataque de hombre en el medio donde un actor malicioso puede falsificar un servidor confiable al interceptar las comunicaciones y engañar al dispositivo del usuario para que se conecte al servidor comprometido.
Citizen Lab también descubrió que la aplicación My2022 transmite algunos datos confidenciales sin ningún tipo de cifrado SSL u otras medidas de seguridad. Estos datos incluyen metadatos relacionados con los mensajes, incluidos los nombres de los remitentes y destinatarios y sus ID de cuenta. Estos datos podrían ser leídos por cualquier “escuchador pasivo”, por ejemplo, alguien que se encuentre dentro del alcance de un punto de acceso Wi-Fi no seguro, el propietario de un punto de acceso Wi-Fi o, lo que es más preocupante, un proveedor de servicios de comunicaciones (CSP).
Jeffrey Knockel de Citizen Lab dijo que la organización reveló estas vulnerabilidades al comité organizador de los juegos de Beijing el 3 de diciembre de 2021, pero no recibió ninguna respuesta. Una versión actualizada de la aplicación lanzada en la App Store de Apple el 17 de enero de 2022 no solucionó los problemas e introdujo una nueva función de informes de estado de salud que tampoco transmitió datos de forma segura.
El equipo de Knockel también encontró problemas con la política de privacidad de la aplicación, que si bien es razonablemente clara en muchos aspectos, no siempre especifica con qué organizaciones o entidades puede compartir los datos de salud confidenciales de un usuario, lo que puede ser una fuente legítima de preocupación para algunos viajeros a China.
También encontraron evidencia de que la aplicación contiene medidas de bloqueo y censura, descubriendo una lista de palabras clave prohibidas que cubren temas políticos relacionados con China.
Sin embargo, Citizen Lab no llegó a decir que las vulnerabilidades se colocaron intencionalmente a instancias del gobierno chino. Aunque China utiliza abiertamente la tecnología para llevar a cabo vigilancia ilícita y existen preocupaciones legítimas sobre la seguridad del software desarrollado por empresas chinas (como TikTok), en este caso no tenía sentido que Beijing interceptara datos, como el estado de Covid-19 de visitantes, que de todos modos se recogería en el puerto de entrada del visitante.
“Nuestro trabajo anterior sugiere que la protección insuficiente de los datos del usuario es endémica del ecosistema de aplicaciones chino. Si bien algunos trabajos han intencionalidad atribuida a la seguridad de software deficiente descubierta en las aplicaciones chinas, creemos que es menos probable que una falta de seguridad tan generalizada sea el resultado de una gran conspiración del gobierno, sino más bien el resultado de una explicación más simple, como las diferentes prioridades para los desarrolladores de software en China”, escribió. Knockel.
Agregó que vale la pena señalar que el gobierno chino ha tomado “medidas significativas” para controlar la recopilación invasiva de datos personales por parte de las empresas chinas; tenga en cuenta la introducción de sus leyes PIPL similares a GDPR el año pasado. De hecho, agregó, la transmisión insegura de datos de My2022 en realidad puede violar las nuevas leyes de privacidad de China. Ciertamente viola los Términos y condiciones que los desarrolladores de aplicaciones deben cumplir para aparecer en Google Play Store y Apple App Store.
“A la luz de nuestra investigación anterior, nuestros hallazgos que analizan MY2022, si bien son preocupantes, no son particularmente sorprendentes para las aplicaciones que operan en China y, a veces, las aplicaciones desarrolladas por empresas chinas”, escribió Knockel.
“Si bien encontramos problemas de seguridad evidentes y fácilmente detectables con la forma en que MY2022 realiza el cifrado, también hemos observado problemas similares en los dispositivos desarrollados en China. Zoom, así como el más popular chino navegadores web.”
El COI retrocede
El Comité Olímpico Internacional (COI) rechazó el informe de Citizen Lab y dijo que, en contra de su informe, no era obligatorio que los visitantes usaran My2022, ya que los asistentes también pueden acceder a servicios como el monitoreo y seguimiento de Covid-19 a través de un sitio web.
La organización también dijo que era posible que los usuarios configuraran la aplicación para negarle el acceso a archivos y medios, la cámara y el micrófono de su dispositivo y los datos de ubicación, entre otras cosas.
Chris Hauk, defensor de la privacidad del consumidor en Pixel Privacy, dijo: “Los usuarios deben compartir la menor cantidad de información posible con la aplicación, y también se les recomienda que se aseguren de que su información de inicio de sesión y contraseña sea diferente de la utilizada en otras aplicaciones, sitios web y otros. usuarios Los usuarios también deben eliminar la aplicación de sus dispositivos lo antes posible. Como mínimo, desinstálelo después de despejar el espacio aéreo chino, para protegerse contra posibles intentos de piratería en el futuro”.
Chris Olson, director ejecutivo de Media Trust, una plataforma de seguridad digital empresarial, dijo que los problemas en My2022 hablaban de problemas más amplios en el ecosistema de aplicaciones móviles: “No todas las aplicaciones móviles son susceptibles a los ataques de intermediarios, pero la mayoría de contienen terceros no revelados que pueden acceder a los mismos datos de usuario que el desarrollador.
“Los usuarios de dispositivos móviles con frecuencia asumen que están seguros debido a las políticas de la tienda de aplicaciones o porque han aceptado los términos del servicio, pero los revisores de aplicaciones no verifican cuidadosamente a los terceros, y rara vez son monitoreados por seguridad. Pueden ser secuestrados para ejecutar ataques de phishing, compartir datos confidenciales con terceros o terceros, sufrir una violación de datos causada por prácticas de seguridad poco estrictas o algo peor”.
Antes de las revelaciones de Citizen Lab, la Asociación Olímpica Británica (BOA) advirtió previamente a los atletas visitantes que dejen sus dispositivos personales en el Reino Unido antes de viajar a China, y les ofreció el uso de los llamados teléfonos desechables durante la duración de su viaje. El Comité Olímpico Holandés ha tomado medidas similares.