De nouvelles recherches ont révélé des vulnérabilités accablantes avec l’application « My 2022 », requise pour les athlètes, les journalistes, le personnel et les autres personnes impliquées dans les Jeux olympiques d’hiver de Pékin 2022.

La recherche provient du groupe canadien Citizen Lab, qui affirme que l’application ne valide pas les certificats de cryptage SSL des hôtes. Cela pourrait potentiellement permettre l’usurpation de noms d’hôte par des individus malveillants et même rediriger les données sensibles vers des serveurs non officiels.

Citizen Lab propose un exemple de « health.customsapp.com », expliquant comment les pirates pourraient manipuler l’application pour voler des données.

« Par exemple, puisque l’application ne valide pas le certificat SSL pour » health.customsapp.com », un attaquant, en interférant avec la communication entre MY2022 et « health.customsapp.com », peut usurper « health.customsapp.com » , permettant à l’attaquant de lire les informations démographiques, de passeport, de voyage et médicales sensibles d’une victime envoyées dans une déclaration de santé douanière ou d’envoyer des instructions malveillantes à une victime après avoir rempli un formulaire », a déclaré la société de recherche (via Android Police).

L’application My 2022 contient un fichier appelé illegalwords.txt avec plus de 2 400 mots clés

De plus, l’application My 2022 est obligatoire pour tous les participants de Beijing 2022, y compris les administrateurs. Le but officiel de l’application est de servir de guide aux personnes participant et couvrant les jeux. Les participants aux jeux doivent télécharger l’application au moins 14 jours avant leur arrivée à Pékin. De plus, les individus devaient également soumettre des informations sur la santé telles que le statut vaccinal et les tests COVID-19 récents.

Citizen Lab a découvert ces vulnérabilités dans les versions 2.0.0 et 2.0.5 de l’application My 2022 pour iOS à la mi-janvier. Pendant ce temps, la version Android de l’application My 2022 comprenait un fichier appelé
«illegalwords.txt», contenant une liste de 2 442 mots-clés «considérés comme politiquement sensibles en Chine», selon Citizen Lab. Bien que la plupart de ces mots-clés soient en chinois simplifié, il inclut également des mots-clés en chinois traditionnel, tibétain, ouïghour et anglais.

Il est important de noter que bien que l’inclusion de ce fichier soulève des problèmes de censure, la société de recherche a déclaré qu’elle ne pouvait « trouver aucune fonctionnalité où ces mots-clés étaient utilisés pour effectuer la censure ».

Citizen Lab n’a pas pu confirmer si cela était inactif par accident ou exprès. Une théorie est que les organisateurs ont décidé de ne pas aller de l’avant avec le plan, compte tenu des critiques de la censure chinoise. Les organisateurs des Jeux olympiques d’hiver de Pékin 2022 n’ont pas encore commenté ces nouvelles révélations.

LEAVE A REPLY

Please enter your comment!
Please enter your name here