Скриншот приложения MY2022, Citizen Lab

[Примечание редактора: оригинал этого материала был опубликован 22 января 2022 года.]

[Все ссылки в тексте — на английском языке.]

Citizen Lab, базирующаяся в Торонто организация, занимающаяся проблемами свободы в интернете, обнаружила «разрушительную» уязвимость, которая ставит под угрозу зашифрованные коммуникации в мобильном приложении My2022 — обязательном приложении для мониторинга здоровья всех участников зимних Олимпийских игр в Пекине. Лазейка в безопасности сделает личные данные, включая аудиофайлы, информацию о состоянии здоровья, паспортные данные, историю болезни и путешествий, уязвимыми для использования третьими лицами.

Internet 2.0 — другая организация, занимающаяся кибербезопасностью — также опубликовала предупреждение о широко распространённой практике слежки в Китае и предложила иностранным участникам оставить личные смартфоны дома и внутри Китая использовать одноразовые телефоны.

Однако Международный олимпийский комитет (МОК) отклонил анализ, сделанный Citizen Lab, и подчеркнул, что, согласно оценкам двух независимых организаций, которые занимаются кибербезопасностью, пекинское приложение «не имеет критических уязвимостей».

Спортсмены, журналисты и все прочие участники зимних Олимпийских игр в Пекине должны начать использовать приложение My2022 за 14 дней до вылета в Китай. Через приложение пользователи обязаны предоставлять информацию о здоровье и поездках, включая результаты тестов на COVID-19 и сертификаты о прививках. Приложение также предлагает новостную ленту, услуги передачи аудио- и видеосообщений и обмена файлами.

Опубликованный 18 января доклад Citizen Lab указывает, что приложение My2022 не смогло подтвердить сертификаты SSL как минимум на пяти серверах и эта лазейка позволит злоумышленникам перехватить зашифрованную информацию и украсть личные данные, обманом заставив приложение подключиться к вредоносному хосту. Другими словами, уязвимость буквально отключает функцию шифрования.

Кроме того, исследование также показало, что некоторые конфиденциальные данные передаются через приложение без какой-либо защиты безопасности и в результате «могут быть прочитаны любым пассивным перехватчиком, например, кем-то в зоне незащищённого доступа Wi-Fi».

Канадские наблюдатели за свободой в интернете также обнаружил список из 2000 ключевых слов, подлежащих цензуре. Он включает ряд чувствительных терминов, таких как Синьцзян, Тибет, Далай-лама и т. д., и встроен в приложение в виде файла «illegalwords.txt». Но функция цензуры не активирована.

Организация Citizen Lab сообщила о своих выводах МОК 3 декабря 2021 года, установив 15-дневный срок для ответа и 45-дневный — для исправления проблемы. Свой доклад Citizen Lab опубликовала 18 января, по истечении 15-дневного крайнего срока.

В тот же день организация Internet 2.0 опубликовала документ, демонстрирующий, как китайское законодательство о национальной безопасности повлияло на поведение корпораций, потворствующих государственному надзору через разработку дизайна своих мобильных приложений. Internet 2.0 предупредила, что «все спортсмены и иные участники Олимпийских игр в Китае попадут под влияние этих законов и культуры слежки».

Организация также рекомендует спортсменам и посетителям Олимпийских игр, находясь в Китае, приобрести новый телефон с временной учётной записью электронной почты и не использовать его после того, как они покинут Китай, чтобы предотвратить сбор личных данных из облачной учётной записи китайскими мобильными приложениями и операторами.

В то время как МОК отверг тревоги по поводу безопасности, Олимпийский комитет США рекомендовал своим спортсменам привезти в Пекин одноразовый телефон, поскольку в Китае они должны «предполагать, что каждое устройство и каждое общение, транзакция и онлайн-активность будут контролироваться».

Группа немецких спортсменов Athleten Deutschland раскритиковала МОК, заявив, что «со стороны МОК необъяснимо и безответственно требовать от участников использовать приложение с такими вопиющими уязвимостями безопасности».

В ответ на озабоченность международной безопасностью китайский государственный телеканал CGTN процитировал технического аналитика Энди Мока, который назвал доклад Citizen Lab «хорошо скоординированной атакой, направленной на создание негативного пиар-эффекта предстоящим Олимпийским играм». На такое заявление Оливер Линоу, специалист по свободе интернета в DW, ответил:

I'm interested in facts and evidence. @citizenlab provides a detailed report, all is transparent. The BOC was informed about security vulnerabilities on 3 December. The IOC claims the #my2022 app has been reviewed by two independent security organisations. Details? #Beijing2022 pic.twitter.com/qhnVXLn4Zp

— Oliver Linow (@OliverLinow) January 19, 2022

Меня интересуют факты и доказательства. @citizenlab предоставляет подробный доклад, всё прозрачно. МОК был проинформирован об уязвимостях в системе безопасности 3 декабря. МОК утверждает, что приложение my2022 проверено двумя независимыми организациями по безопасности. Где детали?