Олимпийский логотип в главном медиа-центре зимних Олимпийских игр в Пекине 18 января 2022 года в Пекине. Фото: AP Photo/David J. Phillip
 | Epoch Times Россия
Олимпийский логотип в главном медиа-центре зимних Олимпийских игр в Пекине 18 января 2022 года в Пекине. Фото: AP Photo/David J. Phillip

В китайском приложении для олимпийцев обнаружена уязвимость в системе безопасности

В список цензурируемых ключевых слов в приложении вошли термины «Фалуньгун», «Всемирный уйгурский конгресс», «Свобода Тибета» и «бойня на Тяньаньмэнь»
Автор: 21.01.2022 Обновлено: 21.01.2022 18:48
Приложение, которым должны пользоваться все участники зимних Олимпийских игр 2022 года в Пекине, имеет уязвимость, позволяющую обойти шифрование конфиденциальных данных, а также цензурировать слова, связанные с нарушениями китайским режимом прав человека в отношении этнических и религиозных меньшинств, говорится в канадском исследовании.

Citizen Lab, исследовательский институт глобальной безопасности при Мункской школе глобальных отношений и государственной политики Университета Торонто, опубликовал 18 января исследование, где анализируется приложение под названием MY2022.

Все участники зимних Олимпийских игр в Пекине, включая спортсменов, зрителей и журналистов, обязаны установить это приложение для посещения Игр, которые начнутся 4 февраля.

Опасения по поводу утечки данных пользователей

Китай требует от всех иностранных и местных участников Игр загрузить приложение за 14 дней до прибытия. Пользователи должны ежедневно следить за состоянием своего здоровья и сообщать о нём через приложение.

В отчёте Citizen Lab говорится, что в приложении, которое собирает документы пользователей для публичного доступа и ряд особо важных медицинских данных, есть «простой, но разрушительный недостаток», позволяющий «банально обойти шифрование, защищающее информацию».

«MY2022 не проверяет SSL-сертификаты, тем самым не проверяя, кому оно отправляет конфиденциальные зашифрованные данные», — написал автор исследования Джеффри Нокель.

«Невозможность проверки означает, что приложение может обманом заставить подключиться к вредоносному узлу, считая его доверенным узлом, что позволяет перехватить информацию, которую приложение передаёт на серверы», — написал он, добавив, что уязвимости существуют как в версии приложения для iOS, так и для Android.

Цензура

В описании MY2022 в Apple App Store говорится, что мобильное приложение предоставляет широкий спектр коммуникационных функций, таких как обмен мгновенными сообщениями и другие информационные услуги для путешествий, размещения и питания.

Однако исследователи Citizen Lab обнаружили файл под названием illegalwords.txt, поставляемый в комплекте с версией MY2022 для Android, который содержит список более чем из 2400 ключевых слов, которые обычно считаются политически чувствительными в Китае, сообщает институт.

В список цензурируемых ключевых слов вошли термины « Фалуньгун», «Всемирный уйгурский конгресс», «Свобода Тибета» и «бойня на Тяньаньмэнь» — слова, относящиеся к группам этнических и религиозных меньшинств, преследуемых коммунистическим режимом, и злодеяниям режима в области прав человека.

В список также включены китайские термины для газеты The Epoch Times и телевидения NTD. Имена нынешних и бывших китайских лидеров, а также названия правительственных учреждений также включены в список.

«Интернет-платформы, работающие в Китае, по закону обязаны контролировать контент, передаваемый через их платформы, иначе им грозят штрафы», — написал Нокель.

Нет ответа

Citizen Lab заявила, что 3 декабря 2021 года она проинформировала Пекинский организационный комитет Олимпийских и Паралимпийских зимних игр 2022 года о проблемах безопасности в MY2022. По состоянию на 18 января ответа не последовало. Лаборатория также отметила, что хотя разработчики приложения выпустили обновление 17 января, уязвимости не были устранены.

Китай исторически подрывает технологию шифрования для «политической цензуры и слежки» и использует «незашифрованные сетевые коммуникации для осуществления атак типа “человек посередине“», — сказал Нокель.

Хотя в связи с этим возникают вопросы о том, было ли шифрование MY2022 «намеренно испорчено в целях слежки или дефект был вызван небрежностью разработчиков», Нокель сказал, что доводы о намеренном вмешательстве в шифрование MY2022 обоснованы, поскольку данные, собранные через приложение, уже напрямую передаются правительству.

Эндрю Ченрепортёр Epoch Times, работающий в Торонто.

Комментарии
Дорогие читатели,

мы приветствуем любые комментарии, кроме нецензурных.
Раздел модерируется вручную, неподобающие сообщения не будут опубликованы.

С наилучшими пожеланиями, редакция The Epoch Times

Упражения Фалунь Дафа
ВЫБОР РЕДАКТОРА