عکس: Pavlo Gonchar/SOPA Images/LightRocket (Getty Images)برنامهای که بازدیدکنندگان بازیهای المپیک 2022 در پکن نیز موظف به دانلود آن هستند. طبق یک گزارش جدید، یک کابوس امنیت سایبری که بسیاری از دادههایی را که جمعآوری میکند، در معرض خطر قرار میدهد. نظارت بر سلامت مرتبط با کووید، و ناوبری GPS. این توسط کمیته سازماندهی پکن طراحی شده است و به طور رسمی متعلق به یک شرکت چینی تحت حمایت دولت، گروه هلدینگ مالی پکن است. در حالی که این برنامه قرار است یک تجربه بازدیدکننده تقویتشده را ارائه دهد، محققان دریافتند که اطلاعات شخصی زیادی را نیز از کاربران خود جمعآوری میکند که ظاهراً هیچ تلاشی برای ایمن کردن آنها صرف نمیکند. بر اساس یک گزارش جدید از محققان دیجیتال با Citizen Lab در دانشگاه تورنتو، برنامه آنقدر ناامن است که ممکن است قانون امنیت داده های خود چین، قانون حفاظت از اطلاعات شخصی چین را که اجرا کرد، نقض کند. در اواخر سال گذشته اجرایی شد و قرار است حفاظت از داده های اولیه را برای شهروندان چینی تضمین کند. این گزارش خاطرنشان میکند که این برنامه ممکن است خطمشی نرمافزار ناخواسته Google را نیز نقض کند، که به حذف برنامههای مخرب در اکوسیستم اندروید، و همچنین دستورالعملهای فروشگاه App اپل کمک میکند. محققان نسخه 2.0.0 را بررسی کردند. iOS و نسخه 2.0.1 برای اندروید، دریافتند که به نظر می رسد هر دو از نقص های مشابهی در نحوه مدیریت رمزگذاری و انتقال داده رنج می برند. طبق گفته های Citizen Lab، برنامه اغلب در گواهینامه های SSL اعتبار سنجی نمی کند – به این معنی که بررسی نمی کند که واقعاً کجا داده هایی را که ارسال می کند ارسال می کند. این کاربران را برای حملات سایبری بالقوه man-in-the-middle آماده می کند، که در آن مهاجم می تواند اتصال به یک وب سایت قانونی را جعل کند و در نتیجه داده های ارسال شده توسط برنامه را سرقت کند. در همان زمان، محققان دریافتند که این برنامه همچنین انواع خاصی از ابرداده را بدون هیچ نوع رمزگذاری SSL یا سایر حفاظتهای امنیتی منتقل میکند و در موارد خاص آن را برای بازرسی عمومی باز میگذارد. در مجموع، علیرغم جمعآوری مقادیر زیادی از اطلاعات حساس سلامتی و مسافرتی در مورد کاربرانش (در نظر بگیرید: جزئیات گذرنامه، تاریخچه پزشکی، دادههای جمعیتی و غیره)، MY2022 فاقد تدابیر حفاظتی برای محافظت از آن است. محققان می گویند که آنها این مسائل را بیش از یک ماه پیش در 3 دسامبر به کمیته سازماندهی پکن فاش کردند، اما هرگز پاسخی دریافت نکردند. ما برای اظهار نظر در مورد این داستان با کمیته سازماندهی پکن تماس گرفتیم و در صورت پاسخ به روز رسانی خواهیم کرد. در حالی که پکن کمیته هرگز به Citizen Lab پاسخ نداد، اخیراً یک نسخه جدیدتر از برنامه – 2.0.5 برای iOS – را منتشر کرد که نه تنها هیچ یک از مشکلات امنیتی گزارش شده را برطرف نکرد، بلکه ظاهراً یک نسخه جدید را معرفی کرد: جدیدترین نسخه این برنامه شامل ویژگی جدیدی به نام کد سلامت سبز است که برای مدیریت اسناد سفر و داده های بهداشتی طراحی شده است که – مانند سایر ویژگی های آن – داده ها را به طور ناامن منتقل می کند. محققان می نویسند با توجه به وضعیت چین به عنوان یک جالوت نظارتی ، ممکن است دیدن این طرح امنیتی نامرغوب به عنوان نوعی توطئه هدفمند دولت چین برای جذب اطلاعات بازدیدکنندگان وسوسه انگیز است. و اگرچه ممکن است MY2022 مشکوک به نظر برسد، Citizen Lab استنباط میکند که ممکن است چیزی کاملاً بدتر از آن باشد. آنها خاطرنشان میکنند که بسیاری از دادههایی که در معرض سرقت قرار گرفتهاند در حال حاضر آشکارا توسط دولت چین جمعآوری میشوند (سیاست حفظ حریم خصوصی برنامه این را توضیح میدهد) – بنابراین دلیل کمی برای اجرای راهحل نظارتی وجود خواهد داشت. این گزارش همچنین خاطرنشان میکند که امنیت دیجیتال به طور کلی در اکوسیستم برنامههای چینی چندان عالی نیست، و بنابراین، ممکن است توسعهدهندگان MY2022 به سادگی یک برنامه بد خلق کنند، نه یک برنامه مخرب. محققان در مورد نقص های امنیتی می نویسند: "ما معتقدیم که چنین کمبود گسترده ای از امنیت کمتر نتیجه یک توطئه گسترده دولتی است، بلکه نتیجه یک توضیح ساده تر مانند اولویت های متفاوت برای توسعه دهندگان نرم افزار در چین است." .
حفره های امنیتی در برنامه My2022 برای بازی های المپیک زمستانی پکن پیدا شد
