Международният олимпийски комитет (МОК) отрече валидността на наскоро публикуваните открития за сериозни уязвимости в официалното мобилно приложение на Олимпиадата в Пекин, заявявайки, че то е тествано от две независими организации за сигурност и проблеми не са били открити.

По-рано този месец, Citizen Lab излезе с доклад, който разглежда сигурността на MY2022, официалното мобилно приложение за зимната олимпиада в Пекин, която започва в началото на следващия месец. Обстоен анализ на апликацията за iOS (Citizen Lab предполагат, че откритията са им валидни и за Android версията на MY2022) разкрива сериозни грешки в дизайна на приложението, което може да доведе до пресичане на комуникацията и кражба на лични данни. Самото приложение, наред с личната информация, засягаща посетителя на събитието, събира данни за здравния статус и демографска информация.

Задължително за всеки присъстващ на Зимната олимпиада в Пекин, MY2022 излага обстойно информацията, която събира, но не и на кого точно бива изпращана, като приложението изтъква, че такава може да бъде изпращана и без съгласието на потребителя. Основна грешка на приложението по отношение на сигурността се явява неуспеха му да валидира SSL серификата на отсрещната страна, с която апликацията се свързва. По този начин, ако отсрещната страха е да речем хакер. Освен това, някои данни биват предавани без каквото и да е криптиране, като например информация за съобщенията, и по-точно кой на кого изпраща, заглавието на съобщението, както и идентификационния номер на акаунта. Още в началото на миналия месец, Citizen Lab информирали МОК за своите открития, давайки им стандартния за публичното оповестяване срок на уязвимостите от 45 дни. Те така обаче и не получили отговор от организацията и вчера публикуваха своите открития. Не на последно място, в кода на приложението, те се натъкват на списък със забранени фрази, които подлежат на цензура, но същият списък по някаква причина е неактивен.

„Не е ясно, дали този списък е изцяло неактивен и ако е така, дали той е неактивен нарочно. Независимо от това, приложението съдържа функции в кода си, които целят прилагането на този списък с цел цензура, макар и към настоящия момент тези функции да не са активни“, пишат Citizen Lab.

Слабостите в сигурността на MY2022 влизат в противоречие, както с правилата на магазина за приложения на Apple и Google, така и със законите на самия Китай, който изисква преноса на чувствителни данни да се осъществява единствено по защитен канал. В същото време обаче, МОК заявяват, че приложението е получило одобрение на двете компании.

В интервю за ZDNet, представител на МОК оправдава дупките в сигурността със „специалните мерки“, които трябва да се вземат заради COVID-19. Те щели да защитят, както участниците в олимпийските и параолимпийските игри, така и китайския народ. „Това провокира създаването на една система за управление със затворен цикъл. Приложението поддържа функцията за здравен мониторинг и е създадено с мисъл да запази хората, свързани с Олимпиадата в безопасност в границите на тази среда“, обясняват МОК.

Първи, които разпространиха откритията на Citizen Lab бяха от „Дойче веле“ и това засили и без това негативните настроения към събитието – както вероятно знаете, Олимпиадата в Пекин се бойкотира на политическо ниво от САЩ, Великобритания и Канада. Властите в редица държави, между които Австралия, Германия, Великобритания и САЩ посъветваха гражданите си да не носят в Китай личните си компютърни устройства поради опасения за сигурността, докато Нидерландия направо наложи забрана на това.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари