Oficialioje Pekino 2022 programoje aptiktos saugumo spragos

Nauji tyrimai atskleidė kai kuriuos baisius programos „Mano 2022“ pažeidžiamumus, reikalingus sportininkams, žurnalistams, darbuotojams ir kitiems asmenims, dalyvaujantiems 2022 m. Pekino žiemos olimpinėse žaidynėse.

Tyrimą atlieka Kanados grupė „Citizen Lab“, kuri teigia, kad programa netikrina SSL sertifikatų, skirtų šifruoti iš pagrindinio kompiuterio. Tai gali leisti piktavaliams asmenims suklastoti pagrindinio kompiuterio pavadinimus ir netgi peradresuoti neskelbtinus duomenis į neoficialius serverius.

„Citizen Lab“ siūlo „health.customsapp.com“ pavyzdį, paaiškinantį, kaip įsilaužėliai gali manipuliuoti programa, kad pavogtų duomenis.

Pavyzdžiui, kadangi programa nepatvirtina „health.customsapp.com“ SSL sertifikato, užpuolikas, trukdydamas ryšiui tarp MY2022 ir „health.customsapp.com“, gali suklastoti „health.customsapp.com“, leisdamas užpuolikas perskaityti jautrius demografinius duomenis, pasus, pasus ir nukentėjusiojo medicininius duomenis, siunčiamus muitinės sveikatos deklaracijoje, arba nusiųsti aukai piktavališkus nurodymus“, – teigė tyrimų bendrovė (per Android Police).

Programoje „Mano 2022“ yra failas, vadinamas legalwords.txt, kuriame yra daugiau nei 2 400 raktinių žodžių

Be to, programa „My 2022“ yra privaloma visiems „Pekinas 2022“ dalyviams, įskaitant administratorius. Oficialus programos tikslas – padėti žmonėms, kurie dalyvauja ir stebi žaidimus. Žaidimo dalyviai turi atsisiųsti programą likus bent 14 dienų iki atvykimo į Pekiną. Be to, asmenys taip pat turėjo pateikti sveikatos duomenis, pvz., skiepų būklę ir naujausius tyrimus dėl COVID-19.

„Citizen Lab“ sausio viduryje aptiko šiuos pažeidžiamumus „iOS“ skirtos „My 2022“ programos 2.0.0 ir 2.0.5 versijose. Tuo tarpu „My 2022“ programos „Android“ versijoje buvo failas, žinomas kaip
„illegalwords.txt“, kuriame yra 2442 raktinių žodžių sąrašas „Kinijoje laikomi politiškai jautriais“, teigia „Citizen Lab“. Nors dauguma šių raktinių žodžių yra supaprastinta kinų kalba, jie taip pat apima raktinius žodžius tradicine kinų, tibetiečių, uigūrų ir anglų kalbomis.

Svarbu pažymėti, kad nors šio failo įtraukimas kelia susirūpinimą dėl cenzūros, tyrimų įmonė teigė negalinti „rasti jokios funkcijos, kurioje šie raktiniai žodžiai būtų naudojami cenzūrai atlikti“.

„Citizen Lab“ negalėjo patvirtinti, ar tai buvo neaktyvi atsitiktinai, ar tyčia. Viena teorija teigia, kad organizatoriai nusprendė netęsti plano, atsižvelgdami į Kinijos cenzūros kritiką. 2022 metų Pekino žiemos olimpinių žaidynių organizatoriai šių naujų atradimų kol kas nekomentavo.

Leave a Comment