Обязательное для установки участниками Олимпиады в Китае приложение содержит уязвимость шифрования

Приложение, которое должны использовать все участники предстоящих Олимпийских игр в Пекине, имеет недостатки шифрования, которые могут привести к утечке личной информации, заявил во вторник наблюдательный орган по кибербезопасности.

«Простая, но разрушительная уязвимость» в шифровании приложения MY2022, которое используется для мониторинга Covid и является обязательным для спортсменов, журналистов и других посетителей Олимпийских игр в столице Китая, может привести к утечке медицинской информации, голосовых сообщений и других данных, предупредил Джеффри Нокель, автор отчета для Citizen Lab.

Международный олимпийский комитет отреагировал на отчет, заявив, что пользователи могут отключить доступ приложения к данным на своих смартфонах, и что оценки двух неназванных организаций по кибербезопасности «подтвердили отсутствие критических уязвимостей».

«Пользователь сам контролирует, к чему приложение может получить доступ на своем устройстве», — заявил комитет AFP, добавив, что установка приложения на мобильные телефоны не требуется, «поскольку аккредитованный персонал также может войти в систему мониторинга состояния здоровья в Интернете».

Комитет заявил, что попросил Citizen Lab предоставить свой отчет, «чтобы лучше понять их опасения».

Citizen Lab заявила, что уведомила китайский оргкомитет Игр о проблемах в начале декабря и дала им 15 дней на ответ и 45 дней на решение проблемы, но не получила ответа.

«У Китая есть история подрыва технологий шифрования для осуществления политической цензуры и слежки», — написал Нокель.

«Таким образом, разумно спросить, было ли шифрование в этом приложении преднамеренно саботировано в целях слежки или дефект возник из-за небрежности разработчиков», — продолжил он, добавив, что «дело о том, что правительство Китая саботирует шифрование MY2022, является проблемой»

Уязвимость затрагивает SSL-сертификаты, которые позволяют онлайн-объектам безопасно общаться.

MY2022 не аутентифицирует SSL-сертификаты, а это означает, что другие стороны могут получить доступ к данным приложения, в то время когда они передаются без обычного шифрования SSL-сертификатов, пишет Нокель.

Хотя приложение прозрачно в отношении медицинской информации, которую оно собирает в рамках мер Китая по выявлению случаев Covid-19, эксперт сказал, что «неясно, с кем или с какой организацией (организациями) оно делится этой информацией».

Приложение MY2022 также содержит список под названием «illegalwords.txt» «политически чувствительных» фраз в Китае, многие из которых относятся к политической ситуации в Китае или его тибетскому и уйгурскому мусульманскому меньшинству.

К ним относятся такие ключевые слова, как «зло КПК» и «Си Цзиньпин», «президент Китая», хотя Нокель сказал, что неясно, использовался ли список активно в целях цензуры.

Из-за этих функций приложение может нарушать политику Google и Apple в отношении программного обеспечения для смартфонов, а также «собственные законы и национальные стандарты Китая, касающиеся защиты конфиденциальности, предоставляя потенциальные возможности для наненсения ущерба в будущем», — написал он.

По материалам: Techxplore