Застосунок на Олімпіаді-2022 в Пекіні має проблеми з безпекою та цензурується – кіберфахівці
Застосунок My2022, який повинні встановити всі учасники зимових Олімпійських ігор у Пекіні, зокрема журналісти, має серйозну вразливість, а також перелік із сотень заборонених слів та словосполучень.
Про це заявила група Citizen Lab, яка працювала над розслідуванням щодо цього застосунку, повідомляє Громадське.
Кіберфахівці, які виявили ці недоліки, повідомили про них оргкомітету Олімпіади ще в грудні, але досі реакції не було. Група Citizen Lab спеціалізується на дослідженнях з кібербезпеки у сфері прав людини. Раніше Citizen Lab уже брала участь у розслідуванні щодо шпигунської програми Pegasus.
Оскільки Олімпіада в Пекіні, яка стартує вже 4 лютого, відбуватиметься в умовах пандемії коронавірусу, усі її учасники – спортсмени, тренери, організатори, журналісти тощо – мають встановити додаток My2022, за допомогою якого відстежуватимуть дані про здоров'я людей.
Застосунок багатофункціональний: його можна використовувати для подання необхідної медінформації, паспортних даних, історії подорожей для тих, хто приїхав із-за кордону, а також для отримання новин про Олімпіаду, погоду, листуватися в текстовому та голосовому чаті, пересилати файли тощо.
За даними уряду Китаю, My2022 створений за участю Організаційного комітету Олімпійських ігор у Пекіні, а загальнодоступна інформація з магазинів застосунків показує, що програма належить китайській держкомпанії Beijing Financial Holdings Group.
Кіберфахівці виявили, що застосунок My2022 не перевіряє SSL-сертифікатів, які відповідають за те, щоб обмін даними відбувався лише з надійних пристроїв та серверів, а це є серйозною вразливістю.
Потенційно зловмисники можуть викрадати паспортні та медичні дані із застосунку, а сама програма є доволі вразливою для атак. Окрім того, деякі дані взагалі не шифруються, тож їх може отримати будь-який пасивний "підслуховувач", наприклад у зоні дії незахищеної точки доступу Wi-Fi.
Серед іншого в My2022 знайшли файл під назвою illegalwords.txt ("заборонені слова"). У ньому містяться 2 442 ключові слова та фрази, які переважно використовуються в китайській мові на території КНР. Однак там також помітили слова з уйгурської, тибетської, китайської мови, яка використовується в Гонконгу і Тайвані, а також англійської.
Зокрема, у файлі перераховано лайливі вирази, імена китайських лідерів та урядових установ, а також "політично чутливі" слова, наприклад посилання на вбивство продемократичних демонстрантів на площі Тяньаньмень у 1989 році та заборонену в Китаї релігійну групу "Фалуньгун".
Попри те що файл є в програмі, у Citizen Lab не змогли знайти жодної функції, де б ці ключові слова нині використовувалися для цензурування. Також незрозуміло, чи цей список ключових слів повністю неактивний і, якщо так, чи навмисно. Проте, як кажуть кіберфахівці, у програмі все ж є можливість увімкнути цензуру.
Як пише DW, Citizen Lab на початку грудня 2021 року конфіденційно поінформувала китайський оргкомітет про результати дослідження та зачекала 45 днів для усунення проблеми, перш ніж опублікувати їх назагал. Але, як повідомили кіберфахівці, досі реакції не було. На платформах Apple та Google опублікували оновлення програми, але перевірка, яку зробили співробітники Citizen Lab 17 січня, не виявила змін ні щодо вразливостей, ні щодо списку "заборонених слів".
Help us be even more cool!
