| 18 янв 2022 — 7:03 PT
Использование китайского олимпийского приложения MY2022 является обязательным для всех, кто посещает Олимпийские игры этого года в Пекине, будь то спортсмен или просто зритель на стадионе.
Приложение собирает конфиденциальные персональные данные – такие как паспортные данные, медицинские данные и история поездок – а анализ, проведенный исследователями безопасности, выявил две уязвимости в коде, которые могут раскрыть эту информацию…
Citizen Lab, которая также сыграла ключевую роль в выявлении телефонов, скомпрометированных шпионским ПО Pegasus, провела анализ.
В связи с пандемией COVID-19 Китай решил внедрить систему управления «закрытого контура» и ежедневное тестирование. Кроме того, все международные и внутренние участники Игр обязаны скачать MY2022 за 14 дней до отъезда в Китай и начать ежедневно отслеживать и отправлять свой статус здоровья в приложение…
[Мы обнаружили] две уязвимости безопасности в MY2022, связанные с безопасностью передачи пользовательских данных. Во-первых, мы описываем уязвимость, при которой MY2022 не проверяет SSL-сертификаты, тем самым не проверяя, кому отправляются конфиденциальные, зашифрованные данные. Во-вторых, мы описываем передачу данных, которую MY2022 не защищает никаким шифрованием.
Хотя приложение использует SSL, оно не проверяет сертификаты.
Наш анализ показал, что MY2022 не проверяет SSL-сертификаты, что позволяет злоумышленнику выдавать себя за доверенные серверы, вмешиваясь в связь между приложением и этими серверами. Эта неспособность проверить означает, что приложение может быть обмануто и подключено к вредоносному хосту, полагая, что это доверенный хост, позволяя перехватывать информацию, которую приложение передает на серверы, и позволяя приложению отображать поддельный контент, который выглядит так, будто исходит от доверенных серверов.
Хуже того, некоторые данные вообще не шифруются – включая сведения о том, кто с кем общается.
Мы также обнаружили, что некоторые конфиденциальные данные передаются без какого-либо SSL-шифрования или какой-либо защиты. Мы обнаружили, что MY2022 передает незашифрованные данные на «tmail.beijing2022.cn» по порту 8099. Эти передачи содержат конфиденциальные метаданные, относящиеся к сообщениям, включая имена отправителей и получателей сообщений, а также их идентификаторы учетных записей пользователей.
Такие данные могут быть прочитаны любым пассивным подслушивателем, например, кем-то в радиусе действия незащищенной точки доступа Wi-Fi, кем-то, управляющим точкой доступа Wi-Fi, или интернет-провайдером или другой телекоммуникационной компанией.
Кроме того, версия для Android содержит список запрещенных слов, хотя он пока не используется активно.
В версии MY2022 для Android мы обнаружили файл под названием «illegalwords.txt», который содержит список из 2442 ключевых слов, обычно считающихся политически чувствительными в Китае. Однако, несмотря на его включение в приложение, мы не смогли найти никакой функциональности, где эти ключевые слова использовались бы для цензуры. Неясно, является ли этот список ключевых слов полностью неактивным, и, если да, то является ли список неактивным намеренно. Однако приложение содержит функции кода, предназначенные для применения этого списка для цензуры, хотя в настоящее время эти функции, по-видимому, не вызываются.