En smarttelefonapp som forventes å bli mye brukt av idrettsutøvere og andre som deltar på neste måneds vinterleker i Beijing, har store sikkerhetsproblemer som kan utsette sensitive data for avlytting, ifølge en rapport publisert tirsdag.
Borger Lab, en Internett-vaktgruppe, sa i sin rapport at MY2022-appen har alvorlige feil kryptering som vil gjøre brukernes sensitive data – og alle andre data som kommuniseres gjennom den – sårbare for å bli hacket. Andre viktige brukerdata på appen var ikke kryptert i det hele tatt, fant rapporten.
Det betyr at dataene kan leses av kinesiske Internett-leverandører eller telekommunikasjonsselskaper gjennom Wi-Fi-hotspots på hoteller, flyplasser og OL-arenaer.
- USA, Storbritannia roper russisk hackingspree, cyberangrep mot OL
Citizen Lab-rapporten sa at appen var obligatorisk for deltakere til lekene, og den internasjonale olympiske komités offisielle veiledning instruerer deltakerne om å laste ned appen før de kommer til Kina. Men IOC utstedte en uttalelse tirsdag som sa at smarttelefonappen ikke var obligatorisk.
IOC presset også tilbake mot Citizen Labs rapport og sa at to uavhengige testorganisasjoner for nettsikkerhet ikke hadde funnet noen kritiske sårbarheter med appen.
Kina krever at alle internasjonale OL-deltakere – inkludert trenere og journalister – logger på et helseovervåkingssystem minst 14 dager før avreise. De kan bruke appen til det, eller de kan logge på via en nettleser på en PC. Appen lar brukere sende inn nødvendig helseinformasjon på daglig basis og er en del av Kinas aggressive innsats for å håndtere koronaviruspandemien mens de er vert for spillene, som begynner i februar 4. Flerbruksappen inkluderer også chattefunksjoner, filoverføringer, væroppdateringer, turismeanbefalinger og GPS-navigasjon.
- Samsung Galaxy Z Flip 3 5G Olympic Comemorative Utgave avduket
Citizen Labs rapport kommer midt i økt bekymring over idrettsutøveres data og personvern. Mange land råder idrettsutøverne til ikke å ta med sine vanlige smarttelefoner til Kina, men i stedet ta med midlertidige – eller brennere – telefoner som ikke lagrer noen sensitive personopplysninger, ifølge nyhetsrapporter.
USA OL & Den paralympiske komité utstedte et råd til idrettsutøvere som ba dem “anta at hver enhet og enhver kommunikasjon, transaksjon og nettaktivitet vil bli overvåket.”
“Det bør ikke være noen forventning om datasikkerhet eller personvern mens du opererer i Kina,” sa rådgiveren.
Kina har en godt dokumentert historie med å drive muskelovervåking av sine innbyggere og aggressiv nettspionasje på andre. Men Citizen Lab sa at det ikke var noen bevis for at de lett synlige sikkerhetsfeilene i MY2022-appen ble plassert med vilje av den kinesiske regjeringen. For det første må mye av den sensitive helseinformasjonen i appen sendes direkte til myndighetene på helsetollskjemaer, heter det i rapporten.
Citizen Lab sa at sikkerhetssårbarhetene som ble funnet i MY2022-appen ligner på de som ble funnet i populære kinesiske nettlesere og bemerket at “utilstrekkelig beskyttelse av brukerdata er endemisk for det kinesiske app-økosystemet.”
“I lys av tidligere arbeid med å analysere populære kinesiske apper, er funnene våre angående MY2022, mens bekymrende, ikke overraskende», heter det i rapporten.
Citizen Lab sa at det rapporterte sikkerhetsproblemene til Beijings organisasjonskomité forrige måned, men at de ikke mottok noe svar. Rapporten sa også at appens sikkerhetsfeil kan stride mot Apples og Googles retningslinjer for programvare brukt på iPhone-telefoner og Android-enheter. De to selskapene returnerte ikke umiddelbart en forespørsel om kommentar.
Android-versjonen av MY2022-appen inkluderte en liste kalt “illegalwords.txt” som inkluderte 2442 søkeord, inkludert noen som kan være politisk sensitive og relatert til Kinas handlinger mot Tibet og den uiguriske etniske gruppen.
Rapporten sa at til tross for at listen er samlet med appen, ser den ikke ut til å fungere. Den kinesiske regjeringen har lenge krevd at teknologiselskaper skal sensurere innhold og søkeord som anses som politisk sensitive eller upassende.
Hvorfor lanseres Galaxy S21 FE og OnePlus 9RT nå? Vi diskuterer dette på Orbital, Gadgets 360-podcasten. Orbital er tilgjengelig på Spotify, Gaana, JioSaavn, Google Podcasts, Apple Podcasts, Amazon Music og hvor enn du får podcastene dine.
Kommentarer
For de siste teknologinyhetene og anmeldelser, følg Gadgets 360 på Twitter, Facebook og Google News. For de nyeste videoene om gadgets og teknologi, abonner på YouTube-kanalen vår.
Ytterligere lesing: Winter Games, Olympics, Citizen Lab, App