Откриха пропуски в сигурността на Олимпиадата, застрашени ли са Игрите в Пекин?

Всеки, който ще пътува до Китай за Олимпийските игри през 2022 г., трябва да инсталира приложението „MY2022“. Но този софтуер има сериозни пропуски, които застрашават сигурността на Игрите. Това показва докладът за ИТ сигурността, получен и публикуван от DW.

В момента спортисти от цял ​​свят се подготвят за пътуването за Зимните олимпийски игри в Пекин. Тази година това означава спазване на действащите здравни разпоредби. Спортистите трябва да инсталират официалното приложение, наречено „MY2022“ на своя смартфон. Това приложение обаче не криптира достатъчно данните,  според доклада "Citizen Lab",  който Дойче веле имаше изключителното право да прегледа. Това поставя спортисти, журналисти и длъжностни лица в сериозна опасност от хакери. Техните данни не са защитени от кражба и наблюдение. Освен това ИТ криминалистите откриха списък с цензурирани термини в приложението.

Сигурността на данните на Зимните олимпийски игри в Пекин така или иначе е критикувана: Германия, Австралия, Великобритания и Съединените щати призовават своите национални олимпийски комитети и спортистите си да оставят личните си телефони и лаптопи у дома. Вместо това те трябва да носят със себе си специални устройства само за Олимпийските игри - има толкова голям страх от дигиталния шпионаж. Поради тази причина Олимпийският комитет на Холандия дори изрично забрани на своите спортисти да носят лични мобилни телефони и лаптопи в Китай.

Зимните олимпийски игри започват на 4 февруари и ще бъдат вторите, които се провеждат по време на пандемията от коронавирус. Ето защо не е изненадващо, че има приложение за смартфони – използвано е и миналата година на Летните олимпийски игри, за да може да се следи евентуална инфекция.

Съгласно официалните правила на Международния олимпийски комитет (МОК), задължението за инсталирането му се отнася за всички, които ще бъдат в специален "олимпийски балон" - за спортисти, треньори, журналисти, спортни служители, както и хиляди местни служители, които трябва да предоставят здравните си данни в приложението "MY2022" или на уебсайта.

Приложението, разработено в Китай, всъщност трябва да служи за наблюдение на здравето на участниците в Олимпийските игри и за наблюдение на контактите в случай на положителни тестове за коронавирус.

В заявлението трябва да бъдат въведени не само паспортни данни и лични данни за статуса на пътуването, но и много медицински данни. Например: страдали ли сте наскоро от симптоми, характерни за covid 19, като температура, умора, главоболие, суха кашлица или възпалено гърло. Всеки, който идва от чужбина, трябва да започне да въвежда здравни данни в заявлението 14 дни преди да влезе в страната.

Проследяването на контакти, базирано на приложения, се счита за модерен начин за борба с пандемията на в много страни. Китайското приложение „My2022“ обаче позволява повече от просто проследяване на контакти: то също така регулира разрешението за достъп до олимпийски събития, предлага на посетителите обширна информация за програмата и организацията на спортни събития, предлага туристически услуги на посетителите и дори има функция за чат (текстова и аудио форма), новини и прехвърляне на файлове за потребителите.

Или, както е посочено в магазина на Apple: приложението предлага възможност за персонализиране на настройките за различни типове потребители, „за да се насладят на всички аспекти на Олимпийските игри в едно приложение“.

Уязвимости в сигурността в приложението бяха открити от учени от "Citizen Lab", които изследват цифровата сигурност, свързана с проблемите на правата на човека, и са свързани с училището по глобални въпроси към Университета в Торонто. Citizens Lab вече участва в откриването на шпионски софтуер на Pegasus.

Конкретната критика към тази лаборатория се отнася до т.нар „SSL-сертификати”, които гарантират, че при прехвърляне на данни комуникацията се осъществява само между надеждни устройства и сървъри – китайското приложение, според „Citizen Lab”, не проверява валидността им, което е сериозна дупка в сигурността. В резултат на това приложението може да бъде подведено да комуникира със „зловреден компютър“, така че данните да бъдат прихванати или дори вредните данни да бъдат изпратени обратно към приложението.

Джефри Кокъл от Citizen Lab откри този пропуск в сигурността не само по отношение на здравните данни, но и в други важни услуги в приложението. Това се отнася и за услугата за приложения, която обработва всички прикачени файлове и гласови съобщения.

Освен това ИТ експертът открива, че за някои услуги трансферът на данни в приложението изобщо не е криптиран, така че нападателят може много лесно да прочете метаданните от услугата за чат на приложението.

„Нашите разследвания показаха, че мерките за сигурност на приложението „My20220“ са напълно неефективни и не предпазват от изтичане на чувствителни данни към трети страни, неупълномощени страни“, казва Нокел.

ИТ изследователи откриха и малък текстов файл, наречен "illegalwords.txt". Той изброява 2442 термина и израза, предимно от писмен китайски, някои изрази на уйгурски, писмен китайски, използван в Тайван и Хонконг, и английски.

Сред многото термини, в допълнение към псувните, има политически термини, които са табу в комунистически Китай и които са публично цензурирани от държавата: критика към Китайската комунистическа партия, нейните лидери и теми, свързани с Фалун Гонг. Протести има и в Тянанмън, Далай Лама и уйгурското мюсюлманско малцинство в Синджан. В уйгурски, например, терминът "Свещения Коран" е в списъка на забранените термини, според Sitzen Lab.

И двамата експерти по ИТ сигурността не успяха да намерят индикация в текущата версия на приложението, че този списък с цензурирани термини се използва активно. Освен това, както се казва, не е напълно ясно защо този файл изобщо съществува. Джефри Нокел от Citizen Lab каза: „Въпреки че файлът „illegalwords.txt“ в момента не се използва, приложението „My2022“ вече съдържа функции, които могат да четат файла и да го използват за цензура, така че активирането на цензурирани термини ще изисква само малко усилие. "

Но това, което приложението вече съдържа, е функция за влизане, при която потребителите на приложението могат да влизат в други потребители, ако смятат, че съобщението в чата е опасно или съмнително. Възможните причини за докладване включват опцията „политически чувствително съдържание“, която обикновено се използва в Китай за политически цензурирани теми.

Няма реакция от Китайския олимпийски комитет относно уязвимостите в сигурността. В началото на декември 2021 г. „Citizen Lab“ поверително информира Китайския организационен комитет на Олимпийските игри за своите констатации. Както обикновено, когато съобщават за уязвимости в сигурността, те помолиха китайските организатори на Олимпийските игри да коригират опасните пропуски в рамките на 45 дни, преди да бъде публикуван докладът. „Организационният комитет не е отговорил на нашите констатации досега“, каза Нокел пред DW.

Междувременно приложението се предлагаше и в Ep-магазините на Apple и Google, но проверка, направена от експерти по сигурността „Citizen Lab“ на 17 януари 2022 г., не откри промени, свързани с цензурирани условия и споменатите пропуски в сигурността.

В наръчника за спортисти и официални лица Международният олимпийски комитет посочва, че приложението „My2022“ е „в съответствие с международните стандарти и китайското законодателство“.

Въпреки това, въз основа на своите констатации, Citizen Lab заключава, че незащитеното прехвърляне на лични данни „може да бъде пряко нарушение на китайските закони за поверителност“. В Китай, според правилата за защита на данните, информацията, която засяга здравето на човек, винаги трябва да се съхранява и предава в криптирана форма.

Резултатите от доклада "Citizen Lab" също повдигат множество въпроси пред западните технологични гиганти, които предлагат "My2022" - Apple и Google. „Според насоките както на Apple, така и на Google, е забранено приложенията да предават чувствителни данни без правилно криптиране. „И двете компании сега трябва да решат дали нерешените проблеми със сигурността ще доведат до изтриване (MY2022 приложения) от техните магазини“, каза Нокел пред DW.

Организационният комитет на Игрите в Пекин през 2022 г. обаче защити приложението, като подчерта, че то е „успешно тествано“ от компании като Google, Apple и Samsung. „За да защитим личните данни, ние предприехме мерки като криптиране на лични данни“, казаха от комисията пред агенция Синхуа в понеделник.

 

Следете Trud News вече и в Telegram

Коментари

Регистрирай се, за да коментираш

Още от Извън терена