MY2022, l’app ufficiale delle Olimpiadi invernali di Pechino che inizieranno a febbraio, mette a rischio i dati sensibili di atleti e spettatori obbligati a scaricarla per poter partecipare all’evento.
L’app MY2022 è infatti obbligatoria per tutti coloro che partecipano ai Giochi Olimpici invernali di Pechino, sia come atleti che come semplici spettatori degli eventi dal vivo. Questa app raccoglie dati personali sensibili, come i dettagli del passaporto, informazioni mediche e cronologia dei viaggi, visto che servirà per monitorare gli accessi e limitare i rischi di contagi da COVID-19. Tutti i partecipanti hanno infatti l’obbligo di scaricare MY2022 14 giorni prima della loro partenza per la Cina e di inviare quotidianamente aggiornamenti sul proprio stato di salute.
Secondo i ricercatori di Citizen Lab, il codice dell’app ha due falle di sicurezza che potrebbero esporre tutte queste informazioni:
Abbiamo trovato due vulnerabilità in MY2022 relative alla sicurezza della trasmissione dei dati degli utenti. In primo luogo, è presente una vulnerabilità in cui MY2022 non riesce a convalidare i certificati SSL, non potendo quindi convalidare a chi sta inviando dati sensibili e crittografati. In secondo luogo, ci sono trasmissioni di dati che MY2022 non riesce a proteggere con alcuna crittografia.
La nostra analisi ha rilevato che MY2022 non riesce a convalidare i certificati SSL, consentendo a un utente malintenzionato di falsificare server attendibili interferendo con la comunicazione tra l’app e questi server. Questa mancata convalida significa che l’app può essere indotta con l’inganno a connettersi a un host dannoso credendo che sia un host attendibile, consentendo l’intercettazione delle informazioni che l’app trasmette ai server e consentendo all’app di visualizzare contenuti contraffatti che sembrano provenire da server attendibili .
Inoltre, alcuni dati non sono affatto crittografati, inclusi i dettagli di chi sta comunicando con chi:
Abbiamo anche scoperto che alcuni dati sensibili vengono trasmessi senza alcuna crittografia SSL o alcuna sicurezza. Abbiamo scoperto che MY2022 trasmette dati non crittografati a “tmail.beijing2022.cn” sulla porta 8099. Queste trasmissioni contengono metadati sensibili relativi ai messaggi, inclusi i nomi dei mittenti e dei destinatari dei messaggi e i loro identificatori di account utente.
Tali dati possono essere letti in modo passivo, come ad esempio da qualcuno nel raggio di un punto di accesso WiFi non protetto, qualcuno che gestisce un hotspot WiFi o un provider di servizi Internet o un’altra società di telecomunicazioni.
Questa notizia dovrà mettere in allerta tutti gli atleti italiani e non solo che parteciperanno alle prossime Olimpiadi invernali.