Исследователи обнаружили дыры в безопасности приложения Олимпиады-2022

Исследователи кибербезопасности из Citizen Lab выяснили, что мобильное приложение My 2022, которое является обязательным для всех участников Зимних Олимпийских игр в Пекине, содержит недостатки в программном обеспечении. Они позволяют раскрывать конфиденциальные данные, включая информацию о здоровье спортсменов, официальных лиц и других участников Игр.

My 2022
My 2022

Созданное в Китае приложение My 2022 будет использоваться для наблюдения за состоянием здоровья участников. Технические специалисты Citizen Lab обнаружили, что приложение не может проверить некоторые SSL-сертификаты, делая передачу личных данных открытой для злоумышленников.

Приложение неправильно шифрует конфиденциальные метаданные, передаваемые через функцию обмена сообщениями, а это означает, что любой перехватчик, использующий точку доступа Wi-Fi, может узнать, с кем и когда общаются пользователи.

Исследователи обнаружили уязвимости в версии приложения для iOS после его загрузки и создания учетной записи, сказал Джеффри Нокель, один из авторов отчета. По его словам, они не смогли создать учетную запись в версии приложения для Android, но обнаружили аналогичные уязвимости, протестировав его общедоступные функции. 

В Citizen Lab считают, что уязвимости являются результатом слабого соблюдения Китаем стандартов кибербезопасности, а не частью преднамеренных усилий правительства по краже данных. 

В справочнике «Пекин 2022» для спортсменов и официальных лиц говорится, что My 2022 «соответствует международным стандартам и китайскому законодательству».

Citizen Lab заявила, что проинформировала оргкомитет Игр о проблемах 3 декабря и заявила, что у нее есть 15 дней, чтобы ответить, и 45 дней, чтобы исправить проблемы, прежде чем она опубликует результаты своего исследования.

Однако обновленная версия приложения для iOS, выпущенная в январе, не решила проблемы. По словам исследователей, разработчики добавили функцию под названием «Зеленый код здоровья», которая запрашивает дополнительные сведения о поездках и истории болезни, и они также подвержены раскрытию.

По словам исследователей, это означает, что приложение нарушает правила Apple App Store и политику Google в отношении нежелательного программного обеспечения. Кроме того, My 2022 может нарушать стандарты и законы о конфиденциальности Китая.

Наконец, Citizen Lab отметила, что в приложении есть возможность сообщать о «политически чувствительном» контенте. В нем присутствует список из 2442 ключевых слов цензуры, который, как неактивен в данный момент, но включает термины, связанные с такими темами, как Синьцзян, Тибет, китайские правительственные учреждения и другие вопросы.

«МОК провел независимую стороннюю оценку приложения от двух организаций по тестированию кибербезопасности», — заявили Engadget в Международном Олимпийском комитете. — «Эти отчеты подтвердили отсутствие критических уязвимостей». МОК отметил, что вместо использования мобильного приложения участники всегда могут получить доступ к веб-системе мониторинга здоровья.

Организация Зимних Олимпийских игр этого года, которые начинаются 4 февраля, была одной из самых политически напряженных за последние десятилетия. Несколько западных стран, в том числе США, Австралия и Великобритания, объявили о дипломатическом бойкоте игр, сославшись на широко распространенные нарушения прав человека в Китае, в том числе на кампанию насильственной ассимиляции в Синьцзяне.

Ранее от спортсменов из Нидерландов, которые примут участие в зимних Олимпийских играх, потребовали оставить свои телефоны и ноутбуки дома, чтобы избежать возможного шпионажа в КНР. Такое требование выпустил Олимпийский комитет Нидерландов для борьбы с любым возможным вмешательством со стороны китайских государственных агентов.

Читайте так же: