حفره های امنیتی در برنامه My2022 برای بازی های المپیک زمستانی پکن پیدا شد

عکس: Pavlo Gonchar/SOPA Images/LightRocket (Getty Images)برنامه‌ای که بازدیدکنندگان بازی‌های المپیک 2022 در پکن نیز موظف به دانلود آن هستند. طبق یک گزارش جدید، یک کابوس امنیت سایبری که بسیاری از داده‌هایی را که جمع‌آوری می‌کند، در معرض خطر قرار می‌دهد. نظارت بر سلامت مرتبط با کووید، و ناوبری GPS. این توسط کمیته سازماندهی پکن طراحی شده است و به طور رسمی متعلق به یک شرکت چینی تحت حمایت دولت، گروه هلدینگ مالی پکن است. در حالی که این برنامه قرار است یک تجربه بازدیدکننده تقویت‌شده را ارائه دهد، محققان دریافتند که اطلاعات شخصی زیادی را نیز از کاربران خود جمع‌آوری می‌کند که ظاهراً هیچ تلاشی برای ایمن کردن آنها صرف نمی‌کند. بر اساس یک گزارش جدید از محققان دیجیتال با Citizen Lab در دانشگاه تورنتو، برنامه آنقدر ناامن است که ممکن است قانون امنیت داده های خود چین، قانون حفاظت از اطلاعات شخصی چین را که اجرا کرد، نقض کند. در اواخر سال گذشته اجرایی شد و قرار است حفاظت از داده های اولیه را برای شهروندان چینی تضمین کند. این گزارش خاطرنشان می‌کند که این برنامه ممکن است خط‌مشی نرم‌افزار ناخواسته Google را نیز نقض کند، که به حذف برنامه‌های مخرب در اکوسیستم اندروید، و همچنین دستورالعمل‌های فروشگاه App اپل کمک می‌کند. محققان نسخه 2.0.0 را بررسی کردند. iOS و نسخه 2.0.1 برای اندروید، دریافتند که به نظر می رسد هر دو از نقص های مشابهی در نحوه مدیریت رمزگذاری و انتقال داده رنج می برند. طبق گفته های Citizen Lab، برنامه اغلب در گواهینامه های SSL اعتبار سنجی نمی کند – به این معنی که بررسی نمی کند که واقعاً کجا داده هایی را که ارسال می کند ارسال می کند. این کاربران را برای حملات سایبری بالقوه man-in-the-middle آماده می کند، که در آن مهاجم می تواند اتصال به یک وب سایت قانونی را جعل کند و در نتیجه داده های ارسال شده توسط برنامه را سرقت کند. در همان زمان، محققان دریافتند که این برنامه همچنین انواع خاصی از ابرداده را بدون هیچ نوع رمزگذاری SSL یا سایر حفاظت‌های امنیتی منتقل می‌کند و در موارد خاص آن را برای بازرسی عمومی باز می‌گذارد. در مجموع، علیرغم جمع‌آوری مقادیر زیادی از اطلاعات حساس سلامتی و مسافرتی در مورد کاربرانش (در نظر بگیرید: جزئیات گذرنامه، تاریخچه پزشکی، داده‌های جمعیتی و غیره)، MY2022 فاقد تدابیر حفاظتی برای محافظت از آن است. محققان می گویند که آنها این مسائل را بیش از یک ماه پیش در 3 دسامبر به کمیته سازماندهی پکن فاش کردند، اما هرگز پاسخی دریافت نکردند. ما برای اظهار نظر در مورد این داستان با کمیته سازماندهی پکن تماس گرفتیم و در صورت پاسخ به روز رسانی خواهیم کرد. در حالی که پکن کمیته هرگز به Citizen Lab پاسخ نداد، اخیراً یک نسخه جدیدتر از برنامه – 2.0.5 برای iOS – را منتشر کرد که نه تنها هیچ یک از مشکلات امنیتی گزارش شده را برطرف نکرد، بلکه ظاهراً یک نسخه جدید را معرفی کرد: جدیدترین نسخه این برنامه شامل ویژگی جدیدی به نام کد سلامت سبز است که برای مدیریت اسناد سفر و داده های بهداشتی طراحی شده است که – مانند سایر ویژگی های آن – داده ها را به طور ناامن منتقل می کند. محققان می نویسند با توجه به وضعیت چین به عنوان یک جالوت نظارتی ، ممکن است دیدن این طرح امنیتی نامرغوب به عنوان نوعی توطئه هدفمند دولت چین برای جذب اطلاعات بازدیدکنندگان وسوسه انگیز است. و اگرچه ممکن است MY2022 مشکوک به نظر برسد، Citizen Lab استنباط می‌کند که ممکن است چیزی کاملاً بدتر از آن باشد. آن‌ها خاطرنشان می‌کنند که بسیاری از داده‌هایی که در معرض سرقت قرار گرفته‌اند در حال حاضر آشکارا توسط دولت چین جمع‌آوری می‌شوند (سیاست حفظ حریم خصوصی برنامه این را توضیح می‌دهد) – بنابراین دلیل کمی برای اجرای راه‌حل نظارتی وجود خواهد داشت. این گزارش همچنین خاطرنشان می‌کند که امنیت دیجیتال به طور کلی در اکوسیستم برنامه‌های چینی چندان عالی نیست، و بنابراین، ممکن است توسعه‌دهندگان MY2022 به سادگی یک برنامه بد خلق کنند، نه یک برنامه مخرب. محققان در مورد نقص های امنیتی می نویسند: "ما معتقدیم که چنین کمبود گسترده ای از امنیت کمتر نتیجه یک توطئه گسترده دولتی است، بلکه نتیجه یک توضیح ساده تر مانند اولویت های متفاوت برای توسعه دهندگان نرم افزار در چین است." .