De MY2022-app, een app die alle aanwezigen van de Olympische Winterspelen in China moeten gebruiken, bevat twee kritieke kwetsbaarheden waardoor de encryptie van de app kan worden omzeild. Daardoor kan data ingezien en gestolen worden.
Dat ontdekten onderzoekers van het Citizen Lab van de Universiteit van Toronto. De app is bedoeld voor bezoekers en sporters die aanwezig zijn op de Olympische Winterspelen in Beijing, alsook journalisten en publiek. De app is verplicht om geïnstalleerd te hebben, en is bedoeld voor onder meer chatten, voicechat, bestanden delen en het uploaden van gezondheidsverklaringen voor covid-19 en paspoortdetails. Ook moeten alle bezoekers vanaf twee weken voor bezoek aan de Spelen dagelijks hun gezondheidsstatus bijhouden in de app.
Het Citizen Lab ontdekte dat er twee kritieke kwetsbaarheden in de app zitten. Allereerst valideert de MY2022-app SSL-certificaten niet, waardoor de app kwetsbaar is voor aanvallen waarbij een aanvaller een vertrouwde server nabootst, en zo versleutelde informatie die naar de server gestuurd wordt, kan onderscheppen. Dit gebeurt niet bij alle verbindingen, maar wel voor een aantal specifieke servers. Hierdoor kan een aanvaller onder meer de paspoortinformatie, reisinformatie en medische informatie van een gebruiker inzien, of kwaadaardige instructies naar een gebruiker sturen via een formulier, stelt het Citizen Lab.
Daarnaast wordt een deel van de gevoelige informatie verstuurd zonder enkele vorm van versleuteling. Zo wordt onversleutelde data verstuurd naar een mailserver, waarbij metadata kan worden onderschept, waaronder namen van afzenders en ontvangers, en accountinformatie. Dat kan afgelezen worden als iemand bijvoorbeeld op dezelfde wifi-hotspot zit.
Los van deze kwetsbaarheden ontdekte het Citizen Lab ook dat allerlei gevoelige informatie zonder instemming van de eindgebruiker gedeeld wordt met onder meer de Chinese overheid, lokale autoriteiten en het Internationaal Olympisch Comité. In de privacyverklaring van de app staat volgens het Citizen Lab nergens beschreven dat deze persoonlijke informatie, alsook medische informatie, met deze lijst van partijen gedeeld wordt. Dat staat wel in het officiële Olympic Games Playbook, maar dus niet in de privacyverklaring van de app zelf.
Het Citizen Lab heeft de kwetsbaarheden in december met de Chinese Olympische organisatie achter de app gedeeld. Tot op heden heeft het Citizen Lab nog geen reactie gehad van de organisatie, vandaar dat het nu naar buiten komt met een responsible disclosure. Het Citizen Lab heeft los hiervan een analyse uitgevoerd naar censuur in de app, en ontdekte verschillende verboden termen in de app, in verschillende talen.