Una aplicación móvil que es obligatoria para todos los participantes en los Juegos Olímpicos de Invierno del próximo mes en Beijing contiene fallas de seguridad que podrían facilitar que un pirata informático robe información personal confidencial, advierten investigadores de seguridad cibernética en Canadá.
La aplicación creada en China, My 2022, se utilizará para monitorear la salud de los asistentes, así como para facilitar el intercambio de información, antes y durante los Juegos de 2022. Los técnicos de Citizen Lab, un grupo de investigación de ciberseguridad y censura centrado en los derechos humanos de la Universidad de Toronto, dijeron que descubrieron que la aplicación no pudo autenticar la identidad de ciertos sitios web, lo que dejó abiertas las transferencias de datos personales a los atacantes.
En un informe publicado el martes, Citizen Lab también dijo que la aplicación no cifraba correctamente los metadatos confidenciales transmitidos a través de la función de mensajería de la aplicación, lo que significaba que cualquier intruso que operara un punto de acceso Wi-Fi podría descubrir con quién se comunican los usuarios y cuándo.
El investigador encontró las vulnerabilidades en la versión iOS de la aplicación después de descargarla y crear una cuenta, dijo Jeffrey Knockel, uno de los autores del informe. No pudieron crear una cuenta en la versión de Android de la aplicación, pero encontraron vulnerabilidades similares al probar sus funciones disponibles públicamente, dijo.
Beijing se ha puesto en alerta máxima antes de los Juegos Olímpicos, y las autoridades intentan erradicar rápidamente los brotes de covid-19 dondequiera que surjan.
Foto:
Kevin Frayer/Getty Images
Citizen Lab dijo que las vulnerabilidades eran similares a las que se encuentran con frecuencia en otras aplicaciones chinas, lo que lo llevó a creer que es más probable que sean el resultado de la aplicación laxa de los estándares de seguridad cibernética por parte de China que parte de un esfuerzo gubernamental intencional para robar datos.
Apple y Google, el fabricante de Android, no respondieron de inmediato a las solicitudes de comentarios. El Comité Olímpico de Beijing no respondió a una solicitud de comentarios.
El manual de Beijing 2022 para atletas y funcionarios dice que My 2022 tiene como objetivo garantizar la seguridad de todos los participantes de los Juegos y “se ajusta a los estándares internacionales y la ley china”.
Los Juegos Olímpicos de Invierno de este año, que comienzan el 4 de febrero, han sido uno de los más políticamente cargados en décadas. Varias naciones occidentales, incluidos EE. UU., Australia y el Reino Unido, han anunciado boicots diplomáticos de los juegos, citando abusos generalizados contra los derechos humanos, incluida una campaña de asimilación forzosa llevada a cabo contra grupos minoritarios musulmanes turcos en la región noroccidental china de Xinjiang.
Beijing ha rechazado las críticas de otros gobiernos sobre su historial de derechos humanos, diciendo que equivalen a una interferencia en los asuntos internos de China. El Ministerio de Relaciones Exteriores de China ha protestado por lo que dice que son intentos de politizar los Juegos Olímpicos.
Los atletas, funcionarios, medios de comunicación y otros participantes en los Juegos deberán descargar My 2022 y usarlo para cargar sus planes de viaje, detalles del pasaporte e información de salud, como temperatura corporal, síntomas respiratorios y medicamentos, todos los días durante dos semanas antes de llegar. en China. Los usuarios deben continuar usando la aplicación para cargar información sobre su estado de salud durante los Juegos.
Otras funciones de la aplicación, creada por una empresa estatal de inversión y fintech, incluyen mensajes de chat, servicios de traducción e información sobre transporte y competencia.
Junto con el Covid-19, la seguridad cibernética se ha clasificado en la parte superior de la lista de preocupaciones entre los países que participan en los Juegos. El Comité Olímpico de EE. UU. ha aconsejado a los atletas estadounidenses que dejen los teléfonos celulares personales en casa y traigan teléfonos desechables o «quemadores» a China para evitar cualquier vigilancia tecnológica. Los funcionarios de Canadá, los Países Bajos y Gran Bretaña han ofrecido una orientación similar a sus propios atletas.
Los investigadores de Citizen Lab dijeron en el informe del martes que My 2022 no pudo validar los certificados SSL, que se utilizan para autenticar la identidad de un sitio web y garantizar una conexión segura. Esa falla significa que la aplicación podría ser engañada para conectarse a un sitio web falso creado para robar datos confidenciales de los usuarios, dijo Knockel en una entrevista.
Los investigadores descubrieron que la función de mensajería de la aplicación transmitía algunos datos clave sin ningún tipo de cifrado o seguridad. Los metadatos, incluidos los nombres de los remitentes y receptores de mensajes y los identificadores de sus cuentas de usuario, pueden ser leídos por cualquier intruso pasivo que opere un punto de acceso Wi-Fi, o un proveedor de servicios de Internet o una compañía de telecomunicaciones, dijeron.
China está aplicando un conjunto estricto de reglas de Covid-19 en los Juegos Olímpicos de Invierno para detener la variante Omicron de rápida propagación. Desde un sistema de «bucle cerrado» hasta la prohibición de gritar, el WSJ explica cómo funcionarán algunas de estas restricciones y por qué, a pesar de todos los esfuerzos, un brote podría descarrilar las competencias. Foto: Fabrizio Bensch/Reuters
Si bien describieron las vulnerabilidades en My 2022 como preocupantes, los investigadores dijeron que no estaban particularmente sorprendidos ya que tales fallas se observan a menudo en aplicaciones desarrolladas por empresas chinas.
“Si bien encontramos problemas de seguridad evidentes y fáciles de descubrir con la forma en que My 2022 realiza el cifrado, también hemos observado problemas similares en Zoom desarrollado en China, así como en los navegadores web chinos más populares”, dijo el informe, citando la regulación informal de China. de recopilación de datos personales antes de la reciente aprobación de estrictas leyes de protección de datos.
El grupo de investigación canadiense también dijo que encontró una lista de alrededor de 2400 palabras clave consideradas políticamente sensibles enterradas dentro de la versión de Android de la aplicación. Los investigadores dijeron que la lista parecía estar inactiva, aunque dijeron que podría usarse para censurar la comunicación en la aplicación.
La mayoría de las palabras de la lista estaban escritas en caracteres chinos simplificados, y una pequeña cantidad de términos aparecían en tibetano, uigur, chino tradicional e inglés, dijeron. Entre los términos contenidos en la lista había referencias a la represión de las protestas democráticas de 1989 en la Plaza de Tiananmen, el grupo religioso prohibido Falun Gong y el nombre del presidente chino Xi Jinping.
Escribir a Liza Lin en Liza.Lin@wsj.com
Copyright ©2022 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Fuente: WSJ