Новое исследование выявило некоторые опасные уязвимости в приложении My 2022, которое необходимо для спортсменов, журналистов, сотрудников и других лиц, связанных с зимними Олимпийскими играми 2022 года в Пекине.
Исследование проводится канадской группой Citizen Lab, которая утверждает, что приложение не проверяет сертификаты шифрования SSL от хостов. Это потенциально может позволить злоумышленникам подделывать имена хостов и даже перенаправлять конфиденциальные данные на неофициальные серверы.
Citizen Lab предлагает пример «health.customsapp.com», объясняя, как хакеры могут манипулировать приложением для кражи данных.
«Например, поскольку приложение не проверяет сертификат SSL для «health.customsapp.com», злоумышленник, вмешиваясь в связь между MY2022 и «health.customsapp.com», может подделать «health.customsapp.com». , что позволяет злоумышленнику прочитать конфиденциальную демографическую, паспортную, туристическую и медицинскую информацию жертвы, отправленную в таможенной декларации о состоянии здоровья, или отправить вредоносную инструкцию жертве после заполнения формы», — заявила исследовательская фирма (через Android Police).
Приложение «Мой 2022» содержит файл с именем нелегальные слова.txt, содержащий более 2400 ключевых слов.
Более того, приложение «Мой 2022» является обязательным для всех участников «Пекин 2022», включая администраторов. Официальная цель приложения — служить руководством для людей, участвующих в играх и освещающих их. Участники игр должны загрузить приложение не менее чем за 14 дней до прибытия в Пекин. Кроме того, люди также должны были предоставить информацию о здоровье, такую как статус вакцинации и недавние тесты на COVID-19.
Citizen Lab обнаружила эти уязвимости в версиях 2.0.0 и 2.0.5 приложения My 2022 для iOS в середине января. Между тем, версия приложения My 2022 для Android содержала файл, известный как
«illegalwords.txt», содержащий список из 2442 ключевых слов, «считающихся политически чувствительными в Китае», согласно Citizen Lab. Хотя большинство этих ключевых слов на упрощенном китайском языке, они также включают ключевые слова на традиционном китайском, тибетском, уйгурском и английском языках.
Важно отметить, что хотя включение этого файла вызывает опасения по поводу цензуры, исследовательская фирма заявила, что не может «найти никаких функций, в которых эти ключевые слова использовались для осуществления цензуры».
Citizen Lab не смогла подтвердить, было ли это неактивным случайно или преднамеренно. Одна из теорий состоит в том, что организаторы решили не реализовывать план, учитывая критику китайской цензуры. Организаторы зимних Олимпийских игр 2022 года в Пекине пока не прокомментировали эти новые откровения.