Приложението за смартфони за Игрите в Пекин 2022 има проблеми със сигурността

Приложението за смартфони, което спортистите и официалните лица на Зимните олимпийски игри в Пекин следващия месец трябва да инсталират, има явни проблеми със сигурността, които могат да изложат чувствителни данни на хакерска атака, сочи доклад.

Citizen Lab, американска група за наблюдение на интернет, заяви в доклада, че приложението MY2022 има сериозни дефекти в криптирането, което би направило чувствителните данни на потребителите, и всички други данни, комуникирани чрез него, уязвими за хакери. Други важни потребителски данни в приложението изобщо не са криптирани, установи докладът.

Това означава, че данните могат да бъдат прочетени от китайски доставчици на интернет услуги или телекомуникационни компании чрез Wi-Fi горещи точки в хотели, летища и олимпийски обекти.

Китай изисква от всички чужди участници, включително треньори и журналисти, да изтеглят и започнат да използват приложението 14 дни преди заминаването си. Приложението позволява на потребителите да изпращат необходимата здравна информация на дневна база и е част от усилията на Китай за борба с пандемията на коронавирус, докато домакинства игрите, които започват на 4 февруари.

Многофункционалното приложение включва също функции за чат, прехвърляне на файлове, актуализации за времето, туристически препоръки и GPS навигация.

Докладът на Citizen Lab идва на фона на опасенията относно поверителните данни на спортистите. Много страни съветват своите състезатели да не носят нормалните си смартфони в Китай, а вместо това да ползват временни телефони, в които не съхраняват никакви лични данни.

Олимпийският и параолимпийски комитет на САЩ посъветва спортистите да "приемат, че всяко устройство и всяка комуникация, транзакция и онлайн дейност ще бъдат наблюдавани".

"Не трябва да има очакване за сигурност или поверителност на данните, докато сте в Китай", обявиха американските власти.

Китай има системата за наблюдение на своите граждани и агресивно кибершпиониране на други. Но Citizen Lab каза, че няма доказателства, че лесно откриваемите пропуски в сигурността в приложението MY2022 са били поставени умишлено от китайското правителство. От една страна, голяма част от чувствителната здравна информация, съхранявана в приложението, се изисква да бъде предоставена директно на властите в здравни митнически формуляри, се казва в доклада.

Citizen Lab каза, че пропуските в сигурността, открити в приложението MY2022, са подобни на тези в популярните китайски уеб браузъри, и отбеляза, че "недостатъчната защита на потребителските данни е ендемична за китайската екосистема на приложения".

"В светлината на предишната работа по анализиране на популярни китайски приложения, нашите констатации относно MY 2022 са, макар и тревожни, не изненадващи", пише в доклада.

Citizen Lab заяви, че е докладвала за проблемите със сигурността на Организационния комитет в Пекин миналия месец, но не е получила отговор. Докладът също така казва, че пропуските в сигурността на приложението могат да противоречат на политиките на Apple и Google за софтуер, използван на iPhone и Android устройства. Двете компании не пожелаха коментар.

Версията за Android на приложението MY2022 включваше списък с името "illegalwords.txt", който има 2442 ключови думи, включително някои, които биха могли да бъдат политически чувствителни и свързани с действията на Китай спрямо Тибет и уйгурската етническа група.

В доклада се казва, че въпреки че списъкът е в комплект с приложението, изглежда не функционира. Китайското правителство отдавна изисква технологичните компании да цензурират съдържание и ключови думи, считани за политически чувствителни или неподходящи.