Приложение, которое обязаны загрузить посетители Олимпийских игр 2022 года в Пекине, также является кошмаром кибербезопасности, угрожающим раскрыть большую часть собираемых им данных, сообщается в новом докладе.
MY2022, обязательное для установки приложение для посетителей зимних Игр этого года, предлагает целый ряд услуг, включая туристические рекомендации, мониторинг здоровья по Ковиду и GPS-навигацию. Оно было разработано Пекинским организационным комитетом и официально принадлежит китайской компании Beijing Financial Holdings Group, поддерживаемой государством.
Несмотря на то, что приложение должно обеспечивать дополнительные возможности для посетителей, исследователи обнаружили, что оно также собирает множество личной информации о своих пользователях, на защиту которой оно, по всей видимости, не тратит никаких ресурсов.
Согласно новому отчету исследователей из Citizen Lab при Университете Торонто, приложение настолько небезопасно, что может нарушать собственный китайский закон о безопасности данных — Закон о защите личной информации, который вступил в силу в конце прошлого года и должен обеспечить базовую защиту данных для китайских граждан. Приложение также может нарушать политику Google в отношении нежелательного программного обеспечения, которая помогает отсеивать вредоносные приложения в экосистеме Android, а также правила App Store компании Apple.
Исследователи изучили версию 2.0.0 для iOS и версию 2.0.1 для Android и обнаружили, что оба приложения страдают от схожих недостатков в том, как они обеспечивают шифрование и передачу данных.
По данным Citizen Lab, приложение часто не подтверждает SSL-сертификаты, то есть не проверяет, куда на самом деле отправляются данные, которые оно передаёт. Это подставляет пользователей под потенциально ваозможные кибератаки типа «человек посередине», когда злоумышленник может подделать соединение с легитимным веб-сайтом и таким образом похитить данные, отправленные приложением. В то же время исследователи обнаружили, что приложение также передаёт некоторые виды метаданных без какого-либо SSL-шифрования или другой защиты, что в некоторых случаях делает их открытыми для публичного просмотра.
В итоге, несмотря на сбор большого количества конфиденциальной медицинской и туристической информации о своих пользователях (подумайте: паспортные данные, история болезни, демографические данные и т.д.), MY2022 не имеет практически никаких средств защиты. Исследователи говорят, что сообщили об этих проблемах Пекинскому организационному комитету более месяца назад, 3 декабря, но ответа так и не получили.
Хотя Пекинский комитет так и не ответил Citizen Lab, недавно он выпустил новую версию приложения – 2.0.5 для iOS, которая не только не устранила ни одну из заявленных проблем безопасности, но и, по всей видимости, ввела ещё одну. Последняя версия приложения включает новую функцию под названием Green Health Code, предназначенную для обработки проездных документов и медицинских данных, которая, как и другие функции, передает данные небезопасно, сообщают исследователи.
Учитывая статус Китая как гиганта в мире слежки, может возникнуть соблазн увидеть в этом некачественном проекте безопасности некий целенаправленный заговор китайского правительства по вытягиванию информации посетителей. И хотя MY2022 может показаться подозрительным, Citizen Lab делает вывод, что может оказаться менее опасным. Они отмечают, что большая часть данных, которые оказались уязвимыми для кражи, уже открыто собирается китайским правительством (политика конфиденциальности приложения объясняет это), поэтому не было бы особых причин для внедрения обходного пути для слежки.
В отчёте также отмечается, что цифровая безопасность в китайской экосистеме приложений в целом не очень высока, и, таким образом, может оказаться, что разработчики MY2022 просто создали плохое, а не шпионское приложение.
Ещё по теме: