Debido a la pandemia, China ha decidido establecer un sistema de gestión y control tanto a participantes como a asistentes a los Juegos Olímpicos de Invierno en Pekín, quienes tienen la obligatoriedad de descargar la App MY2022 14 días antes de su llegada a China para monitorear y enviar su estado de salud diariamente.
Según la guía oficial del gobierno chino sobre los JJOO, esta aplicación ha sido elaborada por el Comité Organizador de Pekín explícitamente para estos Juegos.
Cuenta con una amplia gama de funcionalidades que incluyen recomendaciones de turismo, navegación GPS y monitoreo de salud relacionado con el COVID-19.
Con referencia a esto último, una de sus funciones es la de recopilar un autoinforme diario de los usuarios, su estado de vacunación y los resultados de sus pruebas de laboratorio.
El Citizen Lab, laboratorio interdisciplinario de Asuntos Globales y Políticas Públicas de la Universidad de Toronto, ha llevado a cabo una investigación en la que asegura que MY2022 tiene dos vulnerabilidades de seguridad en la transmisión de datos del usuario. Por un lado, no valida los certificados SSL, por lo que no comprueba a quién envía datos confidenciales cifrados. Y, por otro, no protege con ningún cifrado las transmisiones de datos.
Para llevar a cabo estas comprobaciones, Citizen Lab ha hecho las pruebas oportunas con la versión 2.0.0 de la versión iOS de MY2022 y la versión 2.0.2. de la versión de Android de MY2022. Aunque sólo lo han podido verificar con la versión de iOS, según su entendimiento, las vulnerabilidades se producen en las dos versiones.
No validación de certificados SSL
Para el uso de SSL se necesita la encriptación y la firma de seguridad como medida de privacidad e integridad a sus datos. Es decir, una forma de proteger las transmisiones para que no sean leídas o modificadas ni por el cliente ni por el servidor. Además también es necesario verificar la autenticidad del servido para que SSL no se conecte a un host malicioso y, por ello, tiene que existir un método para recibir y validar mensajes de forma segura.
Tras estas comprobaciones, Citizen Lab encontró que MY2022 no puede validar los certificados SSL, lo que puede provocar la posibilidad de un ataque de falsificación de servidores fiables. Es decir, la aplicación puede ser engañada para conectarse a un host malicioso mientras se cree que es un host confiable, lo que permite que la información que la aplicación transmite a los servidores sea interceptada y permite que la aplicación muestre contenido falsificado que parece originarse en servidores confiables.
Datos confidenciales
También se ha descubierto que algunos datos confidenciales se transmiten sin ningún tipo de cifrado SSL o ningún tipo de seguridad. MY2022 transmite datos no cifrados a "tmail.beijing2022.cn" en el puerto 8099. Estas transmisiones contienen metadatos confidenciales relacionados con los mensajes, incluidos los nombres de los remitentes y destinatarios de los mensajes y sus identificadores de cuentas de usuario. Dichos datos pueden ser leídos por cualquier intruso pasivo, como alguien que se encuentre dentro del alcance de un punto de acceso wifi no seguro, alguien que opere un punto de acceso wifi, un proveedor de servicios de Internet u otra compañía de telecomunicaciones.
Citizen Lab asegura haber informado de los problemas de seguridad al Comité Organizador de los Juegos Olímpicos y Paralímpicos de Invierno de Beijing 2022, a fecha 3 de diciembre de 2021 y, a fecha de hoy, todavía no han tenido respuesta.
Nueva versión 2.0.5
A fecha 17 de enero de 2022, se lanzó la versión 2.0.5 de iOS de MY2022 y Citizien Lab volvió a analizarla. No sólo descubrió que los problemas sobre los que se había informado no se habían solventado, si no que, además, la aplicación ha introducido nueva función llamada ‘Código de salud verde’ cuyas transmisiones de datos eran igualmente vulnerables.
La función ‘Código de salud verde’ solicita información del documento de viaje e información del historial médico. Similar a la información que ya se había detallado que se transmitía de manera insegura por la función vulnerable de declaración de salud aduanera de la aplicación.
Su labor se centra en la investigación, el desarrollo y la política estratégica de alto nivel y el compromiso legal en la intersección de las tecnologías de la información y la comunicación, los derechos humanos, y la seguridad mundial.
Reacción del Comité Olímpico Internacional
Por su parte el COI, en unas declaraciones hechas a Deutsche Welle, ha explicado que la aplicación para teléfonos inteligentes My 2022 de China ha sido evaluada de forma independiente por dos organizaciones de pruebas de seguridad cibernética y se encontró que "no tiene vulnerabilidades críticas".
Además, el COI asegura que el usuario puede configurar la aplicación para deshabilitar el acceso a funciones como "archivos y medios, calendario, cámara, contactos", así como la ubicación del usuario, su teléfono y el micrófono de su teléfono.
"El usuario tiene el control sobre a qué puede acceder la aplicación 'My 2022' en su dispositivo. Puede cambiar la configuración ya mientras instala la aplicación o en cualquier momento después", ha declarado el COI a DW. También dice que la aplicación ha recibido la aprobación de la tienda Google Play para teléfonos Android y la App Store para teléfonos Apple.
Añade además que, aunque el informe de Citizen Lab indica que la aplicación es ‘0bligatoria’ para asistentes y participantes, el COI dice que "no es obligatorio instalar 'My 2022' en los teléfonos celulares, ya que el personal acreditado puede iniciar sesión en el sistema de monitoreo de salud en la página web".
Por otro lado, asegura, además, que ha solicitado el informe de Citizen Labs para entender mejor las preocupaciones de este estudio.
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios