Le Olimpiadi invernali di Pechino sono già al centro di uno scontro geopolitico (gli Stati Uniti e altri paesi hanno annunciato un boicottaggio diplomatico). I ricercatori del Citizen Lab dell’università di Toronto hanno ora scoperto numerose vulnerabilità nell’app MY2022 che tutti i partecipanti ai giochi devono installare sui loro smartphone. Tra le informazioni che possono essere lette dai malintenzionati ci sono quelle relative allo stato di salute.
MY2022: sicurezza inesistente
L’app MY2022 per Android e iOS fornisce numerose informazioni ai partecipanti (atleti, pubblico e giornalisti), ma viene utilizzata anche per inserire i dati richiesti dal governo alle persone che arriveranno in Cina. Per effettuare il tracciamento di eventuali contagi è obbligatorio l’uso dell’app per monitorare lo stato di salute a partire da 14 giorni prima. Una delle funzionalità è la raccolta di informazioni sullo status vaccinale e i risultati dei test di laboratorio (tamponi).
Gli esperti di Citizen Lab hanno scoperto che nella policy sulla privacy di MY2022 non viene specificato chi gestisce i dati raccolti. Ma il pericolo più grave è rappresentato dalle vulnerabilità che consentono di intercettare i dati. L’app non controlla la validità dei certificati SSL, quindi un malintenzionato potrebbe “dirottare” la comunicazione verso un server specifico e registrare molti dati sensibili, come quelli medici.
Altri dati sono inviati addirittura in chiaro, quindi senza crittografia SSL. È sufficiente un access point o un hotspot WiFi per intercettare la comunicazione. I ricercatori hanno segnalato i problemi il 3 dicembre al comitato organizzatore, ma non hanno ricevuto nessuna risposta. L’ultima versione dell’app, rilasciata due giorni fa, è ancora vulnerabile. Il CIO ha dichiarato che l’installazione di MY2022 non è obbligatoria e che un’analisi indipendente non ha trovato nessuna vulnerabilità critica.
Citizen Lab ha scoperto anche un elenco di 2.442 keyword considerate illegali. L’app offre funzionalità di chat, news feed e trasferimento file. Le parole chiave vietate potrebbero indicare una possibile censura, ma al momento il filtro non è attivo. Per quanto riguarda le vulnerabilità, i ricercatori non possono stabilire se si tratta di errori di programmazione o di bug aggiunti intenzionalmente a scopo di sorveglianza.