Onderzoekers van het Citizen Lab hebben ernstige kwetsbaarheden ontdekt in de app MY2022. Dit is een app die verplicht wordt aan alle aanwezigen van de Olympische Winterspelen in China. Het gaat om kwetsbaarheden waardoor de encryptie van de app kan worden omzeild. De onderzoekers van het Citizen Lab noemen de fouten “simpel, maar verwoestend”.
Verplichte app voor aanwezigen Spelen
Alle aanwezigen op de Olympische Spelen in Beijing dienen de app MY2022 geïnstalleerd te hebben. Dit geldt voor atleten, maar ook voor toeschouwers en journalisten. De app is multifunctioneel; je kunt er onder andere mee chatten in realtime, voice-audio chatten en bestanden delen. Ook bevat de app nieuws- en weerberichten over de Olympische Spelen.
Daarnaast kunnen gebruikers via de app gegevens indienen die vereist zijn bij een bezoek aan China vanuit het buitenland, zoals paspoortgegevens, demografische informatie, reisgeschiedenis en medische voorgeschiedenis.
Dat laatste is een van de redenen waarom de app verplicht is. MY2022 is onderdeel van een ‘closed-loop’ managementsysteem om verspreiding van het coronavirus tegen te gaan. Aanwezigen moeten zich tijdens de Spelen dagelijks laten testen. 14 dagen voor hun vertrek naar China dienen ze MY2022 te downloaden en dagelijks hun gezondheidsstatus te monitoren en in de app in te dienen.
Kritieke kwetsbaarheden
Het Citizen Lab vond twee kwetsbaarheden in de app met betrekking tot de beveiliging van de overdracht van gebruikersgegevens. Allereerst ontdekten de onderzoekers dat MY2022 SSL-certificaten niet valideert. Dit betekent dat de app niet valideert naar wie de gevoelige, versleutelde informatie wordt verstuurd.
Een aanvaller zou dankzij de kwetsbaarheid vertrouwde servers kunnen nabootsen om zo de communicatie tussen de app en de servers te verstoren. Op deze manier krijgt hij toegang tot gevoelige demografische, paspoort-, reis- en medische informatie van een appgebruiker. Ook is het mogelijk een gebruiker via een formulier kwaadaardige instructies te sturen, spraakberichten te sturen en bestanden van de gebruiker te lezen, aldus het Citizen Lab. Volgens de onderzoekers zijn niet alle verbindingen onveilig. In het verslag sommen ze een aantal kwetsbare servers op.
De tweede kwetsbaarheid heeft betrekking op de encryptie van gevoelige data. De onderzoekers van het Citizen Lab ontdekten dat een deel van de gevoelige data zonder enkele vorm van versleuteling wordt verstuurd. Er zijn bijvoorbeeld onversleutelde gegevens verstuurd naar een mailserver.
Hierbij kunnen kwaadwilligen gevoelige metagegevens aflezen, waaronder de namen van afzenders en ontvangers van berichten en hun gebruikersaccount-ID’s. Iedere passieve afluisteraar kan deze gegevens lezen volgens de onderzoekers; bijvoorbeeld iemand op dezelfde wifi-hotspot, een internetprovider of ander telecommunicatiebedrijf.
Censuur en privacybeleid
Naast de kwetsbaarheden ontdekte het Citizen Lab bovendien dat de app medische informatie deelt met onder meer de Chinese overheid. Dit wordt niet in het privacybeleid van MY2022 vermeld. Wel staat er in het officiële draaiboek voor de Olympische Spelen dat persoonsgegevens gedeeld worden met verschillende partijen, waaronder het Internationaal Olympisch Comité (IOC), het organisatiecomité van Peking 2022, Chinese autoriteiten (onder andere de overheid en lokale autoriteiten), en anderen.
Tot slot vonden de onderzoekers dat gebruikers via MY2022 onder meer “politiek gevoelige inhoud” kunnen rapporteren. Ook bevat de app een lijst met censuurwoorden: verboden termen in verschillende talen over politieke onderwerpen zoals Xinjian en Tibet, en verwijzingen naar Chinese overheidsinstanties.
De onderzoekers van het Citizen Lab stellen in het rapport dat ze de kwetsbaarheden in december vorig jaar met de Chinese Olympische organisatie deelden. Tot op heden heeft het Citizen Lab nog geen reactie ontvangen. De Olympische Spelen vinden plaats van 4 tot en met 20 februari 2022.
