xcounter
Calendar Icon

Эксклюзив DW: мобильное приложение на Олимпиаде-2022 в Пекине создает риски для ее участников

18.01.2022 15:05

Все, кто едет на Олимпиаду-2022 в Китай, должны установить на мобильный и использовать приложение My 2022. Но в нем есть уязвимости - сказано в докладе, попавшем в эксклюзивное распоряжение DW.Спортсмены со всего мира сейчас готовятся ехать на Зимние Олимпийские игры в Пекин. Подготовка касается и выполнения предписанных Китаем мер в сфере здравоохранения. Так, от участников Олимпиады требуется установить на свои смартфоны официальное приложение My 2022. Проблема однако в том, что это приложение недостаточно эффективно кодирует данные, о чем свидетельствует доклад исследовательской группы Citizen Lab, который есть в эксклюзивном распоряжении Deutsche Welle. Согласно докладу, смартфоны спортсменов, журналистов и спортивных функционеров со всего мира рискуют вскоре стать уязвимыми для хакеров - личные данные оказались недостаточно надежно защищены от кражи и слежки.

Кроме того, специалисты по кибербезопасности обнаружили в приложении цензурный список. Цифровая безопасность на Зимних играх в Пекине и так вызывала беспокойство: Германия, Австралия, Великобритания и США рекомендовали своим атлетам и сотрудникам национальных Олимпийских комитетов не брать с собой личные телефоны и ноутбуки. Вместо этого им предлагают использовать устройства только для одного этого мероприятия - настолько велики опасения цифрового шпионажа. А Олимпийский комитет Нидерландов вообще запретил своим атлетам брать личные смартфоны и ноутбуки в Китай.

Приложение My 2022: отслеживание контактов и много чего еще

Зимние Олимпийские игры стартуют 4 февраля и станут вторыми Играми за период пандемии коронавируса. На этом фоне появление приложения для смартфонов с целью отслеживать возможные заражения атлетов неудивительно, так было и на Летних Играх в Токио в 2021 году. Как сказано в материалах Международного Олимпийского комитета (МОК), все, кто будет находиться в так называемом "олимпийском пузыре" в Пекине, то есть атлеты, тренеры, корреспонденты, функционеры и тысячи местных работников, должны записывать данные о своем здоровье в приложении My 2022 или на сайте.

В принципе, это разработанное в Китае приложение должно помогать следить за состоянием здоровья участников Олимпиады и отслеживать контакты в случае инфицирования коронавирусом. В приложение нужно вносить не только паспортные данные и информацию о перелетах, но и чувствительную медицинскую информацию - например, о недавних симптомах, возможно, связанных с COVID-19, таких как высокая температура, усталость, головная боль, сухой кашель, диарея или боли в горле. Прибывающие из-за границы обязаны заносить данные о здоровье уже за 14 дней до въезда в КНР.

Отслеживание контактов с помощью App на смартфоне во многих странах считается современным средством борьбы с пандемией COVID-19. Но китайское приложение My 2022 имеет более широкие возможности. Оно регулирует доступ к олимпийским мероприятиям, предлагает обширную информацию для посетителей о программе и организации Игр, рекламирует туристические услуги и даже содержит функцию чата (текст и аудио), новостную ленту и функцию пересылку файлов.

Небезопасная передача данных в приложении

Уязвимые места в приложении обнаружили сотрудники группы Citizen Lab, которая занимается исследованиями кибербезопасности в сфере прав человека и которая связана с Munk School of Global Affairs в Университете Торонто. Ранее Citizen Lab принимал участие в расследовании о шпионской программе Pegasus.

Претензии к My 2022 касаются так называемых SSL-сертификатов, которые отвечают за то, чтобы обмен данными шел только с надежными устройствами и серверами. Согласно докладу Citizen Lab, эти сертификаты My 2022 не проверяет, а это - серьезная уязвимость. Поэтому приложение можно обманным путем заставить соединиться с вредоносным компьютером, что в свою очередь может привести к шпионажу за данными или даже к тому, что через приложение на смартфон могут быть отправлены вредоносные файлы.

Эту уязвимость сотрудник Citizen Lab Джеффри Нокел обнаружил не только в данных, касающихся здоровья, но и в других услугах приложения. Кроме того, IT-эксперт выяснил, что для некоторых услуг обмен данными в приложении вообще не кодируется. Таким образом, хакеры могут без труда читать метаданные в чате приложения.

"Мы обнаружили, что мер безопасности в приложении My 2022 абсолютно недостаточно, чтобы предотвратить передачу чувствительных данных третьим сторонам, у которых нет на это права", - говорит Нокел.

Цензура? Запретный список вызывают вопросы

Исследователи из Citizen Lab также обнаружили небольшой файл с названием "illegalwords.txt". В нем содержатся 2442 ключевых слова и фразы, которые преимущественно используются в китайском языке на территории КНР, но также понятия из уйгурского, тибетского, китайского языка, который используется в Гонконге и Тайване, а также английского.

Помимо ругательств в списке можно найти политические выражения, которые признаны табу в коммунистическом Китае и подвергаются публичной цензуре со стороны государства: критика Компартии Китая, ее вождей, а также выражения, связанные с "Фалуньгун", протестами на Тяньаньмэнь, Далай-ламой и мусульманским меньшинством уйгуров в Синьцзяне. Так, по данным Citizen Lab, на уйгурском в списке есть выражение "священный Коран".

В действующей версии My 2022 специалисты не нашли указаний на то, что цензурный список активно используется при работе приложения. Также не совсем понятно, с какой целью этот файл вообще там есть. "Даже если файл "illegalwords.txt" сейчас не используется, в приложении есть кодовые функции, которые читают его и могут быть использованы для цензуры, так что активация цензурного списка потребует незначительных усилий", - говорит Джеффри Нокел.

Уже сейчас в приложение включена функция, которая позволяет пожаловаться на пользователя, если кто-то сочтет сообщение в чате опасным или сомнительным. Среди возможных поводов для такой жалобы есть опция "политически чувствительный контент" - это фраза, которую в Китае обычно используют для подцензурных тем.

Китайский оргкомитет не реагирует на уязвимость

В начале декабря 2021 года Citizen Lab конфиденциально проинформировал китайский оргкомитет о результатах своего исследования. При этом группа, как это обычно делается в случае уязвимостей в сфере кибербезопасности, предоставила организаторам Олимпиады 45 дней для устранения проблемы, прежде чем доклад будет опубликован.

"Пока Оргкомитет не отреагировал на наши разоблачения", - сказал DW Джеффри Нокел.

Тем временем на ресурсах Apple и Google было опубликовано обновление приложения. Но проверка, которую провели сотрудники Citizen Lab 17 января 2022 года, не обнаружила изменений ни в цензурном списке, ни в других уязвимых местах.

Нарушения законов и правил

В материалах для атлетов и функционеров Международного Олимпийского Комитета сказано, что приложение My 2022 соответствует "международным стандартами и китайскому праву".

Но на основе своего исследования Citizen Lab пришла к выводу, что незащищенная передача личной информации "может представлять собой прямое нарушение китайских законов о защите данных". Согласно этим законам, информация о здоровье человека должна храниться и передаваться только в закодированном виде.

Данные доклада Citizen Lab также вызывают вопросы к западным технологическим гигантам, которые распространяют приложение на своих ресурсах - Apple и Google. "Как Apple, так и Google, согласно их собственным правилам, запрещают приложениям передавать данные без достаточного кодирования. Обоим теперь нужно решать, должно ли за нерешенными проблемами безопасности последовать удаление приложения из магазина", - сказал DW Нокел.

Оргкомитет игр в Пекине выступает в защиту приложения и указывает на то, что оно было "успешно проверено" компаниями Apple, Google и Samsung. "Мы предприняли меры, например, кодирование личной информации, чтобы защитить частную сферу", - цитирует комитет информагентство Синьхуа.

Эта новость также на сайте Deutsche Welle.

Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Популярные видео на YouTUBE
Материалы по теме
Binance
А-9834,58 грн./литр
А-95+31,39 грн./литр
А-9529,72 грн./литр
А-9228,7 грн./литр
ДТ28,44 грн./литр
LPG15,83 грн./литр
Это интересно
Самые читаемые новости
Лучшие видео с YouTUBE
Популярные блоги
Погода и гороскоп
Автоновости