Skip to main content

Использование китайского олимпийского приложения MY2022 является обязательным для всех, кто посещает Олимпийские игры этого года в Пекине, будь то спортсмен или просто наблюдающий со стадиона.

Приложение собирает конфиденциальные личные данные, такие как паспортные данные, медицинские данные и историю поездок, и анализ, проведенный исследователями безопасности, показывает, что в коде есть две дыры в безопасности, которые могут раскрыть эту информацию…

Анализ провела компания Citizen Lab, которая также сыграла ключевую роль в выявлении телефонов, скомпрометированных шпионским ПО Pegasus.

Из-за пандемии COVID-19 Китай решил внедрить «замкнутую» систему управления и ежедневное тестирование. Кроме того, все международные и местные участники Игр обязаны загрузить MY2022 за 14 дней до отъезда в Китай и начать ежедневно отслеживать состояние своего здоровья и отправлять его в приложение. […] [We found] две уязвимости безопасности в MY2022, связанные с безопасностью передачи пользовательских данных. Во-первых, мы описываем уязвимость, из-за которой MY2022 не может проверить SSL-сертификаты, тем самым не проверяя, кому он отправляет конфиденциальные зашифрованные данные. Во-вторых, мы описываем передачи данных, которые MY2022 не может защитить никаким шифрованием.

Хотя приложение использует SSL, оно не проверяет сертификаты.

Наш анализ показал, что MY2022 не может проверять SSL-сертификаты, что позволяет злоумышленнику подделывать доверенные серверы, вмешиваясь в связь между приложением и этими серверами. Этот сбой проверки означает, что приложение может быть обманом подключено к вредоносному хосту, полагая, что это доверенный хост, что позволяет перехватывать информацию, которую приложение передает на серверы, и позволяет приложению отображать поддельный контент, который, как представляется, исходит от доверенных серверов. .

Хуже того, некоторые данные вообще не шифруются, в том числе сведения о том, кто с кем общается.

Мы также обнаружили, что некоторые конфиденциальные данные передаются без какого-либо SSL-шифрования или какой-либо безопасности. Мы обнаружили, что MY2022 передает незашифрованные данные на «tmail.beijing2022.cn» через порт 8099. Эти передачи содержат конфиденциальные метаданные, относящиеся к сообщениям, включая имена отправителей и получателей сообщений и идентификаторы их учетных записей.

Такие данные может прочитать любой пассивный перехватчик, например, кто-то в зоне действия незащищенной точки доступа Wi-Fi, кто-то, кто использует точку доступа Wi-Fi, или поставщик услуг Интернета, или другая телекоммуникационная компания.

Кроме того, версия для Android содержит список запрещенных слов, хотя он пока активно не используется.

В комплекте с версией MY2022 для Android мы обнаружили файл с именем «illegalwords.txt», который содержит список из 2442 ключевых слов, которые обычно считаются политически чувствительными в Китае. Однако, несмотря на его включение в приложение, мы не смогли найти никаких функций, в которых эти ключевые слова использовались бы для осуществления цензуры. Неясно, полностью ли этот список ключевых слов неактивен, и если да, то не является ли этот список преднамеренно неактивным. Однако приложение содержит кодовые функции, предназначенные для применения этого списка к цензуре, хотя в настоящее время эти функции не вызываются.