فهرست بستن

آزمایشگاه تورنتو آسیب‌پذیری‌های امنیتی، چارچوب سانسور را در اپلیکیشن المپیک پیدا می‌کند

vpn
آزمایشگاه تورنتو آسیب‌پذیری‌های امنیتی، چارچوب سانسور را در اپلیکیشن المپیک پیدا می‌کند


تورنتو — محققان یک آزمایشگاه فناوری مستقر در تورنتو آسیب‌پذیری‌های امنیتی و چارچوب‌های سانسور را در برنامه‌ای کشف کرده‌اند که همه شرکت‌کنندگان در المپیک ۲۰۲۲ پکن باید از آن استفاده کنند.
آزمایشگاه Citizen، یک موسسه تحقیقاتی در دانشکده امور جهانی و سیاست عمومی Munk در دانشگاه تورنتو که به مطالعه نرم افزارهای جاسوسی می پردازد، یک نقص "ساده اما ویرانگر" را در برنامه MY2022 پیدا کرد که فایل های صوتی، فرم های بهداشتی و گمرکی را برای انتقال جزئیات پاسپورت و سابقه پزشکی و سفر در برابر هکرها آسیب پذیر است.
محقق جفری ناکل متوجه شد که MY2022 برخی از گواهی‌های SSL را تأیید نمی‌کند، زیرساخت دیجیتالی که از رمزگذاری برای ایمن کردن برنامه‌ها استفاده می‌کند و تضمین می‌کند که افراد غیرمجاز نمی‌توانند به اطلاعات در حین انتقال دسترسی پیدا کنند.
این عدم اعتبارسنجی به این معنی است که برنامه می‌تواند فریب بخورد و با میزبان‌های مخربی که اشتباه می‌کند به عنوان مورد اعتماد متصل شود، اطلاعاتی که برنامه به سرورها ارسال می‌کند رهگیری شود و مهاجمان دستورالعمل‌های جعلی را به کاربران نمایش دهند.
ناکل، یکی از همکاران تحقیقاتی که پس از مراجعه خبرنگاری کنجکاو در مورد عملکردهای امنیتی برنامه به او مراجعه کرد، گفت: «بدترین سناریو این است که کسی تمام ترافیک را رهگیری کند و تمام جزئیات پاسپورت، تمام جزئیات پزشکی را ثبت کند.
برگزارکنندگان المپیک از همه شرکت‌کنندگان در بازی‌ها، از جمله ورزشکاران، تماشاگران و اعضای رسانه‌ها، خواسته‌اند تا حداقل ۱۴ روز قبل از ورودشان به چین، برنامه MY2022 را برای ارسال اطلاعات بهداشتی و گمرکی مانند نتایج آزمایش کووید-۱۹ و وضعیت واکسیناسیون، دانلود و شروع به استفاده از آن کنند.
این برنامه از یک شرکت دولتی به نام Beijing Financial Holdings Group همچنین ناوبری GPS و عملکردهای چت متنی، صوتی و تصویری و امکان انتقال فایل ها و ارائه اخبار و به روز رسانی آب و هوا را ارائه می دهد.
Knockel متوجه شد که مشخص نیست این برنامه اطلاعات پزشکی بسیار حساس را با چه کسانی به اشتراک می گذارد.
کتاب بازی المپیک بیان می‌کند که داده‌های شخصی مانند اطلاعات بیوگرافی و داده‌های مربوط به سلامت ممکن است توسط پکن 2022، کمیته‌های بین‌المللی المپیک و پارالمپیک، مقامات چینی و «سایر افراد دخیل در اجرای اقدامات متقابل (COVID-19) پردازش شوند.
Knockel می‌گوید که MY2022 چندین سناریو را مشخص می‌کند که در آن اطلاعات شخصی را بدون رضایت کاربر فاش می‌کند، که شامل موارد امنیت ملی، حوادث بهداشت عمومی و تحقیقات جنایی می‌شود.
با این حال، برنامه مشخص نمی کند که آیا برای دسترسی به این اطلاعات احکام دادگاه مورد نیاز است یا خیر و چه کسانی واجد شرایط دریافت داده خواهند بود.
آخرین نگرانی که Knockel کشف کرد این بود که این برنامه به کاربران اجازه می دهد محتوای «از نظر سیاسی حساس» را گزارش کنند و دریافتند که دارای فهرست کلمات کلیدی سانسور است.
این فهرست شامل 2442 اصطلاح سیاسی، از جمله برخی از موارد مرتبط با تنش در سین کیانگ و تبت، و همچنین ارجاع به سازمان های دولتی چین است. در این فهرست عبارت‌های چینی ترجمه شده به «یهودیان خوک هستند» و «چینی‌ها همه سگ هستند»، اصطلاحات اویغوری برای «قرآن کریم» و کلمات تبتی که به دالایی لاما اشاره می‌کنند، وجود دارد.
Knockel نتوانست مدرکی مبنی بر استفاده از لیست توسط برنامه پیدا کند.
«ما نمی دانیم که آیا آنها قصد داشتند آن را غیرفعال کنند یا اینکه آیا قصد داشتند آن را فعال کنند، اما در هر صورت، این چیزی است که Knockel گفت: می توان با یک سوئیچ فعال کرد.
Citizen Lab نگرانی‌هایی را که در مورد MY2022 پیدا کرده بود در 3 دسامبر به کمیته‌های سازماندهی فاش کرد و به آنها 15 روز برای پاسخگویی و 45 روز برای رفع مشکلات، قبل از افشای عمومی مشکلات فرصت داد.
نسخه جدید MY2022 برای کاربران iOS در 6 ژانویه منتشر شد، اما Citizen Lab اعلام کرد که هیچ مشکلی با به روز رسانی حل نشده است. در واقع، Citizen Lab گفت که این به روز رسانی یک ویژگی جدید "Green Health Code" را معرفی کرده است که داده های پزشکی بیشتری را جمع آوری می کند و به دلیل عدم تأیید گواهی SSL در برابر حملات آسیب پذیر است.
کمیته سازماندهی پکن به درخواست برای اظهار نظر پاسخ نداد.
کمیته بین‌المللی المپیک در بیانیه‌ای اعلام کرد که از گزارش سیتیزن لب درخواست کرده است تا نگرانی‌های خود را بهتر درک کند.
IOC اشاره کرد که ارزیابی‌های شخص ثالث مستقلی را در مورد MY2022 با دو سازمان تست امنیت سایبری انجام داده است و متوجه شده است که هیچ آسیب‌پذیری حیاتی در برنامه وجود ندارد.
در همین حال، کمیته المپیک کانادا به طور خاص به این گزارش اشاره نکرد، اما گفت که به همه اعضای تیم کانادا یادآوری کرده است که بازی‌ها فرصتی منحصر به فرد برای جرایم سایبری است و آنها باید در مورد این خطرات کوشا باشند.
این شرکت در بیانیه‌ای اعلام کرد که به اعضای تیم کانادا توصیه می‌کند دستگاه‌های شخصی خود را در خانه بگذارند، اطلاعات شخصی ذخیره‌شده در وسایل الکترونیکی را که به بازی‌ها آورده‌اند محدود کنند، فقط به وای‌فای رسمی متصل شوند، عملکردهای انتقال را در صورت عدم استفاده خاموش کنند و بازی‌های مرتبط را حذف کنند. برنامه ها زمانی که دیگر لازم نیستند.
Knockel توصیه می‌کند هر کسی که به بازی‌های المپیک می‌رود، فقط زمانی از این برنامه استفاده کند که به شبکه‌هایی که به آنها اعتماد دارند، مانند شبکه خصوصی مجازی (VPN) متصل است.
او گفت که شرکت کنندگان المپیک همچنین باید مکالمات و سایر اقداماتی را که تکمیل آنها در MY2022 اجباری نیست به برنامه های دیگر با امنیت بهتر در نظر بگیرند.
او گفت: «اما این مشکل است. "حتی اگر آنها از آسیب پذیری های امنیتی در برنامه آگاه باشند، ممکن است انتخابی نداشته باشند."
این گزارش توسط Canadian Press برای اولین بار در 18 ژانویه 2022 منتشر شد.
تارا دشان، روزنامه کانادایی