Kelemahan Aplikasi Olimpiade Beijing Memungkinkan Serangan Man-in-the-Middle

Aplikasi seluler yang harus digunakan semua peserta dan atlet Olimpiade Musim Dingin Beijing mendatang untuk mengelola komunikasi dan dokumentasi di acara tersebut memiliki kelemahan “menghancurkan” dalam cara mengenkripsi data yang memungkinkan serangan man-in-the-middle yang mengakses informasi pengguna yang sensitif, para peneliti telah menemukan.

MY2022 adalah aplikasi yang diamanatkan untuk digunakan oleh semua peserta – termasuk anggota pers dan atlet – Olimpiade 2022 di Beijing. Masalahnya adalah, ini menimbulkan risiko keamanan yang signifikan karena enkripsi yang digunakan untuk melindungi audio suara pengguna dan transfer file “dapat diabaikan secara sepele” karena dua kerentanan dalam cara menangani transportasi data, menurut sebuah posting blog dari Citizen Lab yang diposting online. Selasa.

Selain itu, “tanggapan server juga dapat dipalsukan, memungkinkan penyerang menampilkan instruksi palsu kepada pengguna,” tulis Jeffrey Knockel dari Citizen Lab di postingan tersebut.

MY2022 mengumpulkan info seperti formulir bea cukai kesehatan yang mengirimkan detail paspor, informasi demografis, dan informasi medis dan riwayat perjalanan, yang rentan karena cacat, katanya. Juga tidak jelas dengan siapa atau organisasi mana informasi ini dibagikan.

MY2022 juga menyertakan fitur yang memungkinkan pengguna melaporkan konten yang “sensitif secara politis”, serta daftar kata kunci penyensoran. Sementara yang terakhir “saat ini tidak aktif,” itu menargetkan berbagai topik politik, termasuk masalah domestik seperti Xinjiang dan Tibet serta referensi ke lembaga pemerintah China, tulis Knockel.

Background and Disclosure

Para peneliti mengungkapkan masalah keamanan kepada Komite Penyelenggara Beijing untuk Olimpiade dan Paralimpiade Musim Dingin 2022 pada 3 Desember 2021, memberi penyelenggara tenggat waktu 15 hari untuk menanggapi dan 45 hari untuk memperbaiki masalah. Sampai kemarin, 18 Januari 2022, para peneliti masih belum menerima tanggapan, menurut post.

Citizen Lab peneliti juga memeriksa rilis 17 Januari versi 2.0.5 dari MY2022 untuk iOS ke Apple App Store, menemukan bahwa masalah yang dilaporkan masih belum terselesaikan, tulis Knockel. Selain itu, versi aplikasi tersebut memperkenalkan fitur baru yang disebut “Kode Kesehatan Hijau” yang meminta dokumen perjalanan dan info medis dari pengguna yang juga rentan terhadap kekurangan tersebut, tambahnya.

MY2022 digunakan sebagai bagian dari sistem loop tertutup diterapkan karena pembatasan COVID-19 yang mengharuskan semua peserta internasional dan domestik untuk memantau dan menyerahkan status kesehatan mereka – misalnya, tes negatif untuk virus – ke aplikasi setiap hari.

Untuk pengguna domestik, MY2022 mengumpulkan informasi pribadi termasuk nama, nomor identifikasi nasional, nomor telepon, alamat email, gambar profil dan informasi pekerjaan, dan membagikannya dengan Komite Penyelenggara Beijing untuk Olimpiade 2022. Untuk pengguna internasional, aplikasi mengumpulkan informasi demografis dan informasi paspor pengguna, serta organisasi tempat mereka berasal.

Apa yang Tidak Berfungsi

Citizen Lab menemukan dua kerentanan keamanan dalam aplikasi terkait dengan keamanan cara mengirimkan data pengguna. Peneliti memeriksa versi 2.0.0 dari versi iOS MY2022 dan versi 2.0.1 dari versi Android dalam analisis mereka.

“Meskipun kami hanya dapat membuat akun di dan dengan demikian sepenuhnya memeriksa versi iOS MY2022, dari yang terbaik pemahaman, kerentanan yang dijelaskan di bawah ini tampaknya ada di versi iOS dan Android MY2022,” tulis Knockel.

Kerentanan pertama yang ditemukan di MY2022 adalah bahwa kerentanan tersebut gagal untuk memvalidasi sertifikat SSL, sehingga gagal untuk memvalidasi pihak yang dikirimkan sensitif. , data terenkripsi, menurut laporan tersebut. Hal ini memungkinkan penyerang untuk menipu server tepercaya dengan mengganggu komunikasi antara aplikasi dan server ini.

“Kegagalan memvalidasi ini berarti aplikasi dapat ditipu untuk terhubung ke host jahat sambil meyakini bahwa itu adalah host tepercaya, memungkinkan informasi bahwa aplikasi mentransmisikan ke server untuk dicegat dan memungkinkan aplikasi untuk menampilkan konten palsu yang tampaknya berasal dari server tepercaya,” tulis Knockel.

Meskipun beberapa koneksi yang dibuat aplikasi tidak rentan, koneksi SSL ke setidaknya server berikut adalah: my2022 .beijing2022.cn, tmail.beijing2022.cn, dongaoserver.beijing2022.cn, app.bcia.com.cn dan health.customsapp.com.

Peneliti kerentanan lain yang ditemukan di MY2022 adalah bahwa beberapa data sensitif sedang dikirim tanpa enkripsi SSL atau keamanan apa pun, menurut laporan itu. Aplikasi mentransmisikan data yang tidak dienkripsi – termasuk metadata sensitif yang berkaitan dengan pesan, seperti nama pengirim dan penerima pesan dan pengidentifikasi akun pengguna mereka – ke “tmail.beijing2022.cn” pada port 8099, peneliti menemukan.

“Data tersebut dapat dibaca oleh penyadap pasif, seperti seseorang yang berada dalam jangkauan titik akses Wi-Fi yang tidak aman, seseorang yang mengoperasikan hotspot Wi-Fi, atau Penyedia Layanan Internet atau perusahaan telekomunikasi lainnya,” tulis Knockel. mungkin tidak hanya melanggar Kebijakan Perangkat Lunak yang Tidak Diinginkan Google dan pedoman App Store Apple, tetapi juga undang-undang dan standar nasional China sendiri yang berkaitan dengan perlindungan privasi, kata mereka. 4 Februari, yang telah memicu kontroversi. Pada awal Februari 2021, lebih dari 180 kelompok hak asasi manusia telah meminta pemerintah untuk memboikot permainan karena khawatir bahwa mereka akan melegitimasi rezim Tiongkok yang saat ini terlibat dalam pelanggaran hak asasi manusia yang signifikan, terutama terhadap orang-orang Uyghur di Tiongkok.

Pemerintah termasuk Kanada, Inggris dan Amerika Serikat secara diplomatis memboikot permainan, yang berarti atlet dari negara-negara ini dapat bersaing tetapi delegasi pemerintah tidak akan menghadiri acara tersebut.

Cacat pada MY2022 juga mengkhawatirkan karena Olimpiade diketahui menjadi target utama penjahat dunia maya. Olimpiade Musim Panas tahun lalu di Jepang mengalami lebih dari 450 juta percobaan serangan siber, peningkatan yang signifikan dari 180 juta serangan yang terjadi selama Olimpiade Musim Panas London 2012.

Sayangnya, masalah keamanan yang ditemukan di MY2022, meskipun mengkhawatirkan, tidak unik dan kemungkinan besar ditemukan di banyak aplikasi seluler. Masalah seperti itu telah memicu epidemi serangan siber terhadap perangkat dengan keamanan aplikasi yang buruk, catat seorang profesional keamanan.

“Tidak semua aplikasi seluler rentan terhadap serangan man-in-the-middle, tetapi kebanyakan dari mereka memang berisi pihak ketiga yang tidak diungkapkan yang dapat mengakses data pengguna yang sama dengan pengembang,” Chris Olson, CEO di platform keamanan digital perusahaan The Media Trust, menulis dalam email ke Threatpost. “Pengguna seluler sering berasumsi bahwa mereka aman baik karena kebijakan toko aplikasi, atau karena mereka telah menyetujui persyaratan layanan – tetapi pihak ketiga tidak diperiksa dengan cermat oleh peninjau aplikasi, dan keamanan mereka jarang dipantau.”

Karena ini, aplikasi ini “dapat dibajak untuk melakukan serangan phishing, berbagi data sensitif dengan pihak keempat atau kelima, mengalami pelanggaran data yang disebabkan oleh praktik keamanan yang lemah, atau lebih buruk lagi,” katanya.

Foto upacara Olimpiade 2010 milik Tabercil. Detail lisensi.