Обязательное для установки участниками Олимпиады в Китае приложение содержит уязвимость шифрования

Приложение, которое должны использовать все участники предстоящих Олимпийских игр в Пекине, имеет недостатки шифрования, которые могут привести к утечке личной информации, заявил во вторник наблюдательный орган по кибербезопасности.

"Прост ая, но разрушительн ая уязвимость" в шифровании приложения MY2022, которое используется для мониторинга Covid и является обязательным для спортсменов, журналистов и других посетителей Олимпийских игр в столице Китая, может привести к утечке медицинской информации, голосовых сообщений и других данных, предупредил Джеффри Нокель, автор отчета для Citizen Lab.

Международный олимпийский комитет отреагировал на отчет, заявив, что пользователи могут отключить доступ приложения к данным на своих смартфонах, и что оценки двух неназванных организаций по кибербезопасности "подтвердили отсутствие критических уязвимостей".

"Пользователь сам контролирует, к чему приложение может получить доступ на своем устройстве", - заявил комитет AFP, добавив, что установка приложения на мобильные телефоны не требуется, "поскольку аккредитованный персонал также может войти в систему мониторинга состояния здоровья в Интернете".

Комитет заявил, что попросил Citizen Lab предоставить свой отчет, "чтобы лучше понять их опасения".

Citizen Lab заявила, что уведомила китайский оргкомитет Игр о проблемах в начале декабря и дала им 15 дней на ответ и 45 дней на решение проблемы, но не получила ответа.

"У Китая есть история подрыва технологий шифрования для осуществления политической цензуры и слежки", - написал Нокель.

"Таким образом, разумно спросить, было ли шифрование в этом приложении преднамеренно саботировано в целях слежки или дефект возник из-за небрежности разработчиков", - продолжил он, добавив, что "дело о том, что правительство Китая саботирует шифрование MY2022, является проблемой"

Уязвимость затрагивает SSL-сертификаты, которые позволяют онлайн-объектам безопасно общаться.

MY2022 не аутентифицирует SSL-сертификаты, а это означает, что другие стороны могут получить доступ к данным приложения, в то время когда они передаются без обычного шифрования SSL-сертификатов, пишет Нокель.

Хотя приложение прозрачно в отношении медицинской информации, которую оно собирает в рамках мер Китая по выявлению случаев Covid-19, эксперт сказал, что "неясно, с кем или с какой организацией (организациями) оно делится этой информацией".

Приложение MY2022 также содержит список под названием "illegalwords.txt" "политически чувствительных" фраз в Китае, многие из которых относятся к политической ситуации в Китае или его тибетскому и уйгурскому мусульманскому меньшинству.

К ним относятся такие ключевые слова, как "зло КПК" и "Си Цзиньпин", "президент Китая", хотя Нокель сказал, что неясно, использовался ли список активно в целях цензуры.

Из-за этих функций приложение может нарушать политику Google и Apple в отношении программного обеспечения для смартфонов, а также "собственные законы и национальные стандарты Китая, касающиеся защиты конфиденциальности, предоставляя потенциальные возможности для наненсения ущерба в будущем", - написал он.

Apple Covid Короновирус Пекин Правительство