Правительство Гонконга запустило приложение LeaveHomeSafe в ноябре 2020 года, чтобы помочь отслеживать заболеваемость и бороться с пандемией.
Приложение, доступное для iOS и Android, собирает информацию о местонахождении пользователя по мере его передвижения по городу, получая данные от сканирования штрих-кодов в местных ресторанах. Это может показаться довольно безобидным, но, учитывая политические потрясения в городе за последние несколько лет, жители Гонконга не самые доверчивые люди в наши дни.
Приложение быстро стало предметом споров, когда местные жители начали выражать опасения, что оно может быть инструментом правительственной слежки.
В мае краудфандинговая журналистская некоммерческая организация FactWire провела реверс-инжиниринг приложения и обнаружила в его коде модуль распознавания лиц. Однако не удалось установить, используется ли этот модуль на самом деле или нет.
Теперь другие исследователи говорят, что у приложения ещё больше проблем: а именно, множество недостатков в системе безопасности, которые могут «позволить хакерам получить доступ к идентификационным номерам, записям посещений или информации о прививках и анализах» при соответствующих обстоятельствах.
Исследование, о котором идет речь, было проведено компанией 7ASecurity, специализирующейся на кибербезопасности. В недавно опубликованном отчёте исследователи написали, что, хотя они не смогли «окончательно доказать наличие злого умысла или несанкционированной слежки за гражданами Гонконга», приложение имеет серьёзные недостатки в безопасности, которые могут привести к утечке или краже пользовательских данных.
В заявлении, опубликованном на сайте правительства Гонконга написано, что «никогда не было никаких инцидентов, связанных с безопасностью или конфиденциальностью» связанных с приложениями. Правительство также отметило, что оно «сожалеет и решительно выступает против неточных сообщений и несправедливых обвинений», сделанных в докладе.
Отслеживание Ковида привело к тяжелым последствиям в Китае. По меньшей мере миллион человек находились под строгой изоляцией в Ухане после того, как там было выявлено три новых случая заболевания. На огромных заводах таких компаний, как Foxconn и Huawei, рабочие находятся на объектах 24 часа в сутки, чтобы предотвратить заражение и поддерживать работу предприятий. Шанхай за последние шесть месяцев неоднократно закрывал по домам десятки миллионов людей.
Со своей стороны, исследователи, похоже, уверены в своих выводах. «Цель данного исследования заключалась в том, чтобы независимая третья сторона проверила, насколько точны официальные заявления LeaveHomeSafe о конфиденциальности и безопасности, представленные на главной странице приложения», — пишут авторы.
«...[нам] удалось обнаружить в общей сложности 12 ошибок, 8 из которых были классифицированы как уязвимости безопасности, а 4 - как общие недостатки с меньшим потенциалом эксплуатации. Обратите внимание, что 3 из обнаруженных в этом отчёте уязвимостей имели уровень серьезности высокий или критический. Такой низкий результат наводит на мысль, что мобильные приложения LeaveHomeSafe ранее не подвергались аудиту со стороны компетентной компании по безопасности».
Полный отчёт 7ASecurity о проблемах безопасности можно прочитать на сайте компании.
Ещё по теме:
- Papers, Please выйдет на смартфонах
- Apple начала продавать восстановленные iPhone 12 mini
- Тим Кук: Apple продолжит нанимать сотрудников, но не всех