В обязательном китайском приложении для спортсменов на Олимпиаде обнаружены недостатки в системе безопасности
19 января 2022Исследователи заявили, что приложение, в котором будут храниться конфиденциальные данные о здоровье участников зимних Игр, имеет серьезные уязвимости в шифровании.
Согласно новому отчету, обязательное приложение для смартфонов, которое спортсмены будут использовать для передачи данных о состоянии здоровья и поездках, когда они будут находиться в Китае на Олимпийских играх в следующем месяце, имеет серьезные недостатки в шифровании, что ставит под вопрос безопасность систем, которые Пекин планирует использовать для отслеживания вспышек Covid-19.
В тех частях приложения, которые будут передавать результаты анализов на коронавирус, информацию о поездках и другие личные данные, не проверялась подпись, используемая при передаче зашифрованных данных, или данные вообще не шифровались, говорится в докладе Citizen Lab, наблюдательной группы по кибербезопасности Университета Торонто. Группа также обнаружила, что приложение включает в свой код ряд политических терминов, помеченных для цензуры, хотя, судя по всему, оно не использует этот список для фильтрации сообщений.
Китай вступил в завершающую стадию планирования зимних Олимпийских игр, которые будут направлены на контроль распространения Covid-19 путем содержания спортсменов и других участников отдельно от остального населения Китая. Приложение под названием MY2022 было разработано для усиления этих мер предосторожности, обеспечивая электронную связь между правительством и участниками, чтобы связаться с ними в случае каких-либо вспышек заболевания. Оно напоминает более широкую систему медицинских кодексов на основе приложений, используемую для контроля за передвижением населения в случае вспышек.
Новые опасения по поводу приложения подчеркивают более широкие опасения по поводу цензуры и слежки во время Игр в Китае, который имеет одну из самых сложных систем слежки и цензуры в мире. Официальные лица уже заявили, что спортсменам будут предоставлены услуги сотовой связи, которые позволят им обойти широко распространенные блокировки таких сайтов, как Facebook, Google и Twitter.
В своем отчете Citizen Lab сообщила, что раскрыла недостатки в системе безопасности Пекинскому организационному комитету 3 декабря, но не получила никакого ответа. Январское обновление программного обеспечения не устранило проблемы, что, скорее всего, привело к тому, что приложение нарушило недавно принятые в Китае законы о защите персональных данных, а также политику конфиденциальности, необходимую для размещения приложения в магазинах Google и Apple.
Apple и Google не сразу ответили на просьбу о комментарии.
Такие проблемы, как неполное или несуществующее шифрование, давно мучают китайскую технологическую отрасль, на которую возложена сложная двойная обязанность защищать данные потребителей и одновременно делиться ими с правительственными цензорами и службами наблюдения.
С первых дней пандемии Ковид-19 правительство Китая полагалось на отслеживание с помощью приложений, чтобы контролировать вспышки и следить за людьми, запертыми в городах, где появляются случаи заболевания. Порой такие системы были не слишком безопасными и прозрачными. В 2020 году программа отслеживания на базе Alibaba немедленно передала личные данные местной полиции без предупреждения пользователей.
Приложения, отслеживающие случаи заражения коронавирусом, изобиловали недостатками в системе безопасности. Многие страны поспешили выпустить эти приложения в попытке не отстать от темпов распространения коронавируса, но затем поспешили устранить недостатки в системе безопасности. Правозащитные группы предупреждают, что недостатки в дизайне этих приложений подвергают людей риску мошенничества, кражи личных данных или обширной государственной слежки, а также могут подорвать доверие населения к инициативам в области здравоохранения.
В апреле 2020 года Норвегия представила приложение для смартфонов под названием Smittestopp, или "остановить инфекцию", которое предупреждало пользователей, если они вступали в контакт с другими пользователями, заразившимися коронавирусом. Однако к июню этого года регуляторы по защите данных выразили обеспокоенность тем, что риски усиленного наблюдения перевешивают недоказанные преимущества приложения для общественного здравоохранения. В следующем месяце национальный орган по надзору за данными наложил временный запрет на приложение.
В рамках подготовки к Олимпийским играм 2021 года в Токио Япония разрабатывала приложение для отслеживания контактов иностранных гостей, однако быстро возникли опасения по поводу ошибок в программном обеспечении и того, будут ли у всех посетителей смартфоны, на которые можно будет установить приложение.
В отчете Citizen Lab говорится, что приложение MY2022 не смогло подтвердить уникальную подпись шифрования на сервере, куда оно передавало данные. По сути, это означало, что хакеры могли перехватить данные без ведома китайских властей. Другие части приложения, например, встроенная служба обмена сообщениями, не шифровали метаданные, что позволяло владельцам беспроводных сетей или телекоммуникационных компаний легко определить, какой телефон и в какое время обменивался сообщениями с другим.
"Вся передаваемая вами информация может быть перехвачена, особенно если вы находитесь в ненадежной сети, например, в кофейне или Wi-Fi в отеле", - сказал Джеффри Нокель, научный сотрудник Citizen Lab и один из авторов доклада. Чувствительная информация, полученная таким образом, может быть использована для кражи личных данных, добавил доктор Нокель.
Неясно, были ли недостатки в системе безопасности намеренными или нет, но авторы доклада предположили, что надлежащее шифрование может помешать некоторым из повсеместно используемых в Китае инструментов наблюдения в Интернете, особенно системам, позволяющим местным властям подглядывать за телефонами, использующими общественные беспроводные сети или интернет-кафе. Тем не менее, исследователи добавили, что недостатки, вероятно, были непреднамеренными, поскольку правительство уже будет получать данные из приложения, поэтому не было необходимости перехватывать их в процессе передачи.
"Используя приложение, вы уже отправляете данные непосредственно китайскому правительству", - сказал доктор Нокель.
Приложение также включало список из 2 422 политических ключевых слов, описанных в коде как "illegalwords.txt", который работал как цензурный список ключевых слов, согласно Citizen Lab. По словам исследователей, этот список, по-видимому, был скрытой функцией, которую чат и функция передачи файлов приложения активно не использовали.
Списки цензурируемых слов являются обычным явлением в китайских приложениях для социальных сетей и работают как первая линия обороны в многоуровневой системе цензуры, призванной предотвратить распространение нежелательных политических тем.
Citizen Lab заявила, что список слов в основном включал китайские термины, относящиеся к бойне на площади Тяньаньмэнь, распространенные критические замечания в адрес Коммунистической партии Китая и имя президента Китая Си Цзиньпина. Контроль над именем г-на Си особенно строг. Списки также включали несколько слов на других языках, в частности, упоминания Далай-ламы на тибетском языке и Корана на уйгурском.
"Они могут включить цензуру одним щелчком выключателя", - сказал доктор Нокель.
В тех частях приложения, которые будут передавать результаты анализов на коронавирус, информацию о поездках и другие личные данные, не проверялась подпись, используемая при передаче зашифрованных данных, или данные вообще не шифровались, говорится в докладе Citizen Lab, наблюдательной группы по кибербезопасности Университета Торонто. Группа также обнаружила, что приложение включает в свой код ряд политических терминов, помеченных для цензуры, хотя, судя по всему, оно не использует этот список для фильтрации сообщений.
Китай вступил в завершающую стадию планирования зимних Олимпийских игр, которые будут направлены на контроль распространения Covid-19 путем содержания спортсменов и других участников отдельно от остального населения Китая. Приложение под названием MY2022 было разработано для усиления этих мер предосторожности, обеспечивая электронную связь между правительством и участниками, чтобы связаться с ними в случае каких-либо вспышек заболевания. Оно напоминает более широкую систему медицинских кодексов на основе приложений, используемую для контроля за передвижением населения в случае вспышек.
Новые опасения по поводу приложения подчеркивают более широкие опасения по поводу цензуры и слежки во время Игр в Китае, который имеет одну из самых сложных систем слежки и цензуры в мире. Официальные лица уже заявили, что спортсменам будут предоставлены услуги сотовой связи, которые позволят им обойти широко распространенные блокировки таких сайтов, как Facebook, Google и Twitter.
В своем отчете Citizen Lab сообщила, что раскрыла недостатки в системе безопасности Пекинскому организационному комитету 3 декабря, но не получила никакого ответа. Январское обновление программного обеспечения не устранило проблемы, что, скорее всего, привело к тому, что приложение нарушило недавно принятые в Китае законы о защите персональных данных, а также политику конфиденциальности, необходимую для размещения приложения в магазинах Google и Apple.
Apple и Google не сразу ответили на просьбу о комментарии.
Такие проблемы, как неполное или несуществующее шифрование, давно мучают китайскую технологическую отрасль, на которую возложена сложная двойная обязанность защищать данные потребителей и одновременно делиться ими с правительственными цензорами и службами наблюдения.
С первых дней пандемии Ковид-19 правительство Китая полагалось на отслеживание с помощью приложений, чтобы контролировать вспышки и следить за людьми, запертыми в городах, где появляются случаи заболевания. Порой такие системы были не слишком безопасными и прозрачными. В 2020 году программа отслеживания на базе Alibaba немедленно передала личные данные местной полиции без предупреждения пользователей.
Приложения, отслеживающие случаи заражения коронавирусом, изобиловали недостатками в системе безопасности. Многие страны поспешили выпустить эти приложения в попытке не отстать от темпов распространения коронавируса, но затем поспешили устранить недостатки в системе безопасности. Правозащитные группы предупреждают, что недостатки в дизайне этих приложений подвергают людей риску мошенничества, кражи личных данных или обширной государственной слежки, а также могут подорвать доверие населения к инициативам в области здравоохранения.
В апреле 2020 года Норвегия представила приложение для смартфонов под названием Smittestopp, или "остановить инфекцию", которое предупреждало пользователей, если они вступали в контакт с другими пользователями, заразившимися коронавирусом. Однако к июню этого года регуляторы по защите данных выразили обеспокоенность тем, что риски усиленного наблюдения перевешивают недоказанные преимущества приложения для общественного здравоохранения. В следующем месяце национальный орган по надзору за данными наложил временный запрет на приложение.
В рамках подготовки к Олимпийским играм 2021 года в Токио Япония разрабатывала приложение для отслеживания контактов иностранных гостей, однако быстро возникли опасения по поводу ошибок в программном обеспечении и того, будут ли у всех посетителей смартфоны, на которые можно будет установить приложение.
В отчете Citizen Lab говорится, что приложение MY2022 не смогло подтвердить уникальную подпись шифрования на сервере, куда оно передавало данные. По сути, это означало, что хакеры могли перехватить данные без ведома китайских властей. Другие части приложения, например, встроенная служба обмена сообщениями, не шифровали метаданные, что позволяло владельцам беспроводных сетей или телекоммуникационных компаний легко определить, какой телефон и в какое время обменивался сообщениями с другим.
"Вся передаваемая вами информация может быть перехвачена, особенно если вы находитесь в ненадежной сети, например, в кофейне или Wi-Fi в отеле", - сказал Джеффри Нокель, научный сотрудник Citizen Lab и один из авторов доклада. Чувствительная информация, полученная таким образом, может быть использована для кражи личных данных, добавил доктор Нокель.
Неясно, были ли недостатки в системе безопасности намеренными или нет, но авторы доклада предположили, что надлежащее шифрование может помешать некоторым из повсеместно используемых в Китае инструментов наблюдения в Интернете, особенно системам, позволяющим местным властям подглядывать за телефонами, использующими общественные беспроводные сети или интернет-кафе. Тем не менее, исследователи добавили, что недостатки, вероятно, были непреднамеренными, поскольку правительство уже будет получать данные из приложения, поэтому не было необходимости перехватывать их в процессе передачи.
"Используя приложение, вы уже отправляете данные непосредственно китайскому правительству", - сказал доктор Нокель.
Приложение также включало список из 2 422 политических ключевых слов, описанных в коде как "illegalwords.txt", который работал как цензурный список ключевых слов, согласно Citizen Lab. По словам исследователей, этот список, по-видимому, был скрытой функцией, которую чат и функция передачи файлов приложения активно не использовали.
Списки цензурируемых слов являются обычным явлением в китайских приложениях для социальных сетей и работают как первая линия обороны в многоуровневой системе цензуры, призванной предотвратить распространение нежелательных политических тем.
Citizen Lab заявила, что список слов в основном включал китайские термины, относящиеся к бойне на площади Тяньаньмэнь, распространенные критические замечания в адрес Коммунистической партии Китая и имя президента Китая Си Цзиньпина. Контроль над именем г-на Си особенно строг. Списки также включали несколько слов на других языках, в частности, упоминания Далай-ламы на тибетском языке и Корана на уйгурском.
"Они могут включить цензуру одним щелчком выключателя", - сказал доктор Нокель.
49
5887
/nytimes-ru/tech/v-obyazatelnom-kitayskom-prilozhenii-dlya-sportsmenov-na-olimpiade-obnaruzheny-nedostatki-v-sisteme-/
10
2000
ukrtop@mail.ru
/local/components/dev/auto.comments
Есть что добавить? #
Гость
24 января 2022
Исследователи заявили, что приложение, в котором будут храниться конфиденциальные данные о здоровье участников зимних Игр, имеет серьезные уязвимости в шифровании - ну и они конечно же сначала исправили, а потом уже заявили, да?)
Оставьте комментарий
