mardi, novembre 26, 2024

Une application de surveillance de la santé pour les participants olympiques aurait des problèmes de sécurité flagrants

Un peu plus de deux semaines avant le début de la conférence à Pékin, des chercheurs ont affirmé qu’une application utilisée par de nombreux participants présentait des problèmes de sécurité majeurs. Le Citizen Lab, un centre de recherche basé à la Munk School of Global Affairs and Public Policy de l’Université de Toronto, a déclaré qu’une « faille simple mais dévastatrice » facilitait le contournement des systèmes de cryptage censés protéger les transferts audio et de fichiers vocaux.

« Le pire scénario est que quelqu’un intercepte tout le trafic et enregistre tous les détails du passeport, tous les détails médicaux », a déclaré l’associé de recherche Jeffrey Knockel. .

L’application est utilisée pour la surveillance de la santé dans le cadre des contre-mesures COVID-19. D’autres fonctionnalités incluent la messagerie, des nouvelles sur les Jeux et des informations sur la logistique. Le Comité international olympique affirme que la main-d’œuvre locale de Pékin 2022 utilise également l’application pour des choses comme le chronométrage et la gestion des tâches.

« Le CIO a mené des évaluations tierces indépendantes sur l’application de deux organisations de test de cybersécurité », a déclaré le CIO à Engadget dans un communiqué. « Ces rapports ont confirmé qu’il n’y a pas de vulnérabilités critiques. » Le CIO a noté qu’au lieu d’utiliser l’application mobile, les participants peuvent accéder à un système de surveillance de la santé basé sur le Web. Il a déclaré avoir demandé le rapport des chercheurs « pour mieux comprendre leurs préoccupations ».

Le Citizen Lab note que les formulaires de douane sanitaires contenant des informations sur les passeports et les antécédents médicaux et de voyage sont également à risque. De plus, les chercheurs ont déclaré qu’il était possible d’usurper les réponses du serveur, ce qui pourrait permettre aux pirates de fournir de fausses instructions aux utilisateurs.

En plus de déterminer que l’application ne chiffre pas certaines transmissions de données, l’équipe a constaté que l’application ne parvient pas à valider certains certificats SSL. Dans de tels cas, l’application ne peut pas « valider à qui elle envoie des données sensibles et cryptées ». Bien qu’ils n’aient pu créer un compte que sur l’application iOS, les chercheurs pensent que les vulnérabilités existent également sur la version Android de MY2022.

Le Citizen Lab a déclaré avoir informé le comité d’organisation des Jeux des problèmes le 3 décembre et a déclaré qu’il disposait de 15 jours pour répondre et de 45 jours pour résoudre les problèmes avant de publier ses conclusions. Mardi, les chercheurs n’avaient pas reçu de réponse.

Une version iOS mise à jour de l’application publiée dimanche n’a pas résolu les problèmes. Selon les chercheurs, les développeurs ont ajouté une fonctionnalité appelée « Green Health Code » qui demande plus de détails sur les voyages et les antécédents médicaux, qui sont également vulnérables au problème de la certification SSL.

Selon les chercheurs, les failles pourraient signifier que l’application enfreint les règles de l’App Store d’Apple et la politique de Google sur les logiciels indésirables. En outre, MY2022 peut enfreindre les normes et lois chinoises en matière de confidentialité.

De plus, The Citizen Lab a noté que l’application inclut une option pour signaler le contenu « politiquement sensible ». Il contient également une liste de 2 442 mots-clés de censure, qui seraient inactifs à la minute, mais comprend des termes liés à des sujets tels que le Xinjiang, le Tibet, les agences gouvernementales chinoises et d’autres sujets socialement sensibles.

Tous les produits recommandés par Engadget sont sélectionnés par notre équipe éditoriale, indépendante de notre maison mère. Certaines de nos histoires incluent des liens d’affiliation. Si vous achetez quelque chose via l’un de ces liens, nous pouvons gagner une commission d’affiliation.

Source-145

- Advertisement -

Latest