Kanada (bbabo.net), – TORONTO – Výskumníci v technologickom laboratóriu so sídlom v Toronte odhalili bezpečnostné slabiny a cenzúrne rámce v aplikácii, ktorú musia používať všetci účastníci olympijských hier v Pekingu v roku 2022.

Citizen Lab, výskumný ústav na Munk School of Global Affairs and Public Policy University of Toronto, ktorý študuje spyware, našiel „jednoduchú, ale zničujúcu“ chybu v aplikácii MY2022, ktorá vytvára zvukové súbory, zdravotné a colné formuláre prenášajúce údaje o pasoch a zdravotná a cestovateľská anamnéza zraniteľná voči hackerom.

Výskumník Jeffrey Knockel zistil, že MY2022 neoveruje niektoré certifikáty SSL, digitálnu infraštruktúru, ktorá používa šifrovanie na zabezpečenie aplikácií a zaisťuje, že žiadne neoprávnené osoby nebudú mať prístup k informáciám počas ich prenosu.

Toto zlyhanie pri overení znamená, že aplikácia môže byť oklamaná, aby sa spojila so škodlivými hostiteľmi, ktorých považuje za dôveryhodné, čo umožňuje zachytiť informácie, ktoré aplikácia prenáša na servery, a útočníkom zobraziť falošné pokyny pre používateľov.

„Najhorším scenárom je, že niekto zachytáva všetku premávku a zaznamenáva všetky údaje z pasu, všetky zdravotné údaje,“ povedal Knockel, výskumný pracovník, ktorý aplikáciu skúmal po tom, čo sa k nemu priblížil novinár, ktorý bol zvedavý na jej bezpečnostné funkcie.

Organizátori olympijských hier požadujú od všetkých účastníkov hier, vrátane športovcov, divákov a členov médií, aby si stiahli a začali používať aplikáciu MY2022 na odosielanie zdravotných a colných informácií, ako sú výsledky testov COVID-19 a stav očkovania, aspoň 14 dní pred príchodom do Číny.

Aplikácia od štátnej spoločnosti s názvom Beijing Financial Holdings Group ponúka aj GPS navigáciu a funkcie textového, video a audio chatu a možnosť prenášať súbory a poskytovať novinky a aktuálne informácie o počasí.

Knockel zistil, že nie je jasné, s kým aplikácia zdieľa vysoko citlivé lekárske informácie.

Olympijská príručka uvádza, že osobné údaje, ako sú biografické informácie a údaje súvisiace so zdravím, môžu spracovávať Peking 2022, Medzinárodné olympijské a paralympijské výbory, čínske úrady a „ďalšie osoby, ktoré sa podieľajú na implementácii protiopatrení (COVID-19).

Knockel hovorí, že MY2022 načrtáva niekoľko scenárov, v ktorých zverejní osobné informácie bez súhlasu používateľa, medzi ktoré okrem iného patria záležitosti národnej bezpečnosti, incidenty v oblasti verejného zdravia a vyšetrovanie trestných činov.

Aplikácia však nešpecifikuje, či sa na získanie prístupu k týmto informáciám budú vyžadovať súdne príkazy a kto bude oprávnený získavať údaje.

Posledným problémom, ktorý Knockel odhalil, bolo, že aplikácia umožňuje používateľom nahlasovať „politicky citlivý“ obsah a zistila, že obsahuje cenzúrny zoznam kľúčových slov.

Zoznam obsahuje 2 442 politických výrazov vrátane niektorých súvisiacich s napätím v Sin-ťiangu a Tibete, ako aj odkazy na čínske vládne agentúry. Na zozname sú čínske frázy v preklade „Židia sú svine“ a „Všetci Číňania sú psi“, ujgurské výrazy pre „Svätý Korán“ a tibetské slová odkazujúce na dalajlámu.

Knockel nemohol nájsť dôkaz, že aplikácia zoznam používa.

"Nevieme, či zamýšľali, aby to bolo neaktívne, alebo či zamýšľali, aby to bolo aktívne, ale v každom prípade je to niečo, čo sa dá povoliť stlačením vypínača," povedal Knockel.

Citizen Lab zverejnilo obavy, ktoré zistilo s MY2022, organizačným výborom 3. decembra, pričom im poskytlo 15 dní na odpoveď a 45 dní na vyriešenie problémov, kým problémy zverejní.

Nová verzia MY2022 pre používateľov iOS bola vydaná 6. januára, ale spoločnosť Citizen Lab uviedla, že aktualizáciou neboli vyriešené žiadne problémy. V skutočnosti spoločnosť Citizen Lab uviedla, že aktualizácia zaviedla novú funkciu „Green Health Code“, ktorá zhromažďuje viac lekárskych údajov a je zraniteľná voči útokom z dôvodu nedostatku overenia certifikátu SSL.

Knockel odporúča, aby každý, kto smeruje na olympijské hry, používal aplikáciu iba vtedy, keď je pripojený k sieťam, ktorým dôveruje, ako je napríklad virtuálna súkromná sieť (VPN).

Účastníci olympijských hier by tiež mali zvážiť, či konverzácie a iné akcie, ktoré nie sú povinné v MY2022, absolvovať do iných aplikácií s lepším zabezpečením, povedal.

"Ale je to zložité," povedal. "Aj keď sú si vedomí bezpečnostných slabín v aplikácii, nemusia mať na výber."

bbabo.Net