У приложения есть ряд проблем с безопасностью, что делает его уязвимым к хакерским атакам, утечкам данных и слежке.
Все, кто намерен присутствовать на Зимней Олимпиаде в Пекине в следующем месяце (в том числе спортсмены, спортивные обозреватели, спортивное руководство и т.д.), обязаны предоставлять сведения о своем здоровье китайским властям через мобильное приложение My 2022. Однако, согласно отчету Citizen Lab, у приложения есть ряд проблем с безопасностью, что делает его уязвимым к хакерским атакам, утечкам данных и слежке.
Согласно отчету, помимо проблем с шифрованием My 2022 содержит список ключевых слов, подлежащих цензуре.
Напомним , незадолго до публикации отчета Citizen Lab Великобритания, Германия, Австралия и США призвали своих спортсменов не брать на Олимпиаду личные мобильные устройства и готовы выдать им одноразовые телефоны. Олимпийский комитет Нидерландов пошел еще дальше и строго запретил своим спортсменам брать в Пекин личную технику из-за возможного шпионажа со стороны китайских властей.
Согласно инструкциям Международного олимпийского комитета, спортсмены, тренеры, журналисты, руководство и весь персонал, насчитывающий тысячи человек, обязаны предоставлять данные о своем здоровье через мобильное приложение или web-сайт My 2022. Разработанное в Китае приложение предназначено для мониторинга состояния здоровья участников и персонала и отслеживания возможных заражений COVID-19.
В приложение также нужно вводить паспортные данные, информацию о прилете/вылете, сведения о возможных симптомах коронавируса (высокая температура, утомляемость, головная боль, кашель, боль в горле и диарея). Лица, прибывающие в Пекин из-за рубежа, должны начать вводить соответствующую информацию за 14 дней до прибытия в Китай.
Приложения для отслеживания цепочки заражения COVID-19 есть во многих странах, но My 2022 совмещает этот функционал с другими сервисами: управляет доступом к мероприятиям, играет роль гида и предоставляет информацию о спортивных объектах и туристических сервисах, выполняет функции мессенджера (текстового и аудио), предоставляет ленту новостей и позволяет обмениваться файлами.
Как сообщается в отчете Citizen Lab, подлинность SSL-сертификатов приложения, свидетельствующих о том, что данные передаются исключительно между доверенным устройством и сервером, не подтверждена. Другими словами, у My 2022 серьезные проблемы с шифрованием. Злоумышленники могут заставить приложение подключиться к вредоносному хосту, что позволит перехватывать передаваемые данные или отправлять в ответ вредоносные данные.
Что еще хуже, для некоторых сервисов в приложении трафик не шифруется вовсе. То есть, посторонние могут с легкостью читать метаданные чата.
Исследователи также обнаружили в приложении текстовый файл illegalwords.txt, содержащий 2 442 ключевых слова и фраз, в основном написанных на упрощенном китайском языке (основной язык, использующийся в КНР). Правда, небольшая часть слов написана на уйгурском, тибетском, традиционном китайском (используется в Гонконге и на Тайване) и английском.
Среди многих ключевых слов есть ненормативная лексика, а также выражения, относящиеся к политически табуированным темам в коммунистическом Китае, которые подвергаются цензуре со стороны государства, включая критику Коммунистической партии КНР и ее лидеров. Одним из примеров в списке, рассмотренном Citizen Lab, является термин «Священный Коран» на уйгурском языке.
В текущей версии приложения нет свидетельств того, что этот активно используется для цензуры. Почему он вообще присутствует в приложении, пока непонятно.
«Даже если illegalwords.txt в настоящее время не используется, My2022 уже содержит функции кода, способные читать этот файл и применять его для цензуры, поэтому активировать цензурирование будет проще простого», — сообщил специалист Citizen Lab Джеффри Нокел (Jeffrey Knockel).
Источник: securitylab