必須の中国オリンピックアプリは個人データを収集し、2つのセキュリティホールがあります
中国のオリンピックアプリMY2022の使用は、今年の参加者全員に必須です。 オリンピック競技 北京では、アスリートとしてであれ、単にスタジアムから見ているだけであれ。
アプリは機密情報を収集します –パスポートの詳細、医療データ、旅行履歴など–セキュリティ研究者による分析により、コードにはこの情報を公開する可能性のある2つのセキュリティホールがあることが明らかになりました…
ペガサススパイウェアによって侵害された電話を特定する上でも重要な役割を果たしてきたCitizenLabは、 分析を実施 。
COVID-19の大流行により、中国は閉ループ管理システムと毎日の検査を実施することを決定しました。さらに、ゲームのすべての国内外の参加者は、中国への出発の14日前にMY2022をダウンロードし、毎日の健康状態の監視とアプリへの送信を開始する必要があります[…]
[私たちは]ユーザーデータの送信のセキュリティに関連するMY2022の2つのセキュリティの脆弱性を発見しました。最初に、MY2022がSSL証明書の検証に失敗し、機密性の高い暗号化されたデータの送信先の検証に失敗する脆弱性について説明します。次に、MY2022が暗号化で保護できないデータ送信について説明します。
アプリはSSLを使用していますが、証明書を検証しません。
分析の結果、MY2022はSSL証明書の検証に失敗し、攻撃者がアプリとこれらのサーバー間の通信を妨害することにより、信頼できるサーバーをスプーフィングできることがわかりました。この検証の失敗は、アプリが信頼できるホストであると信じながら悪意のあるホストに接続するようにだまされる可能性があることを意味します。これにより、アプリがサーバーに送信する情報が傍受され、信頼できるサーバーから発信されたように見えるなりすましコンテンツが表示されます。 。
さらに悪いことに、誰が誰と通信しているかの詳細など、一部のデータはまったく暗号化されていません。
また、一部の機密データは、SSL暗号化やセキュリティなしで送信されることもわかりました。 MY2022は、暗号化されていないデータをポート8099でtmail.beijing2022.cnに送信することがわかりました。これらの送信には、メッセージの送信者と受信者の名前、ユーザーアカウント識別子など、メッセージに関連する機密メタデータが含まれています。
このようなデータは、セキュリティで保護されていないWiFiアクセスポイントの範囲内にいる人、WiFiホットスポットを操作している人、インターネットサービスプロバイダーやその他の電気通信会社など、あらゆる受動的な盗聴者が読み取ることができます。
さらに、Androidバージョンには禁止されている単語のリストが含まれていますが、これはまだ積極的に使用されていません。
Windows 10は、マウスが接続されているときにタッチパッドをオフにします
AndroidバージョンのMY2022にバンドルされている、違法な単語.txtという名前のファイルを発見しました。このファイルには、中国で一般的に政治的に機密であると見なされている2,442個のキーワードのリストが含まれています。ただし、アプリに含まれているにもかかわらず、これらのキーワードが検閲を実行するために使用された機能は見つかりませんでした。このキーワードリストが完全に非アクティブであるかどうか、もしそうであれば、リストが意図的に非アクティブであるかどうかは不明です。ただし、アプリには、このリストを検閲に適用するように設計されたコード関数が含まれていますが、現在、これらの関数は呼び出されていないようです。