Приложение, которым должны пользоваться участники Олимпиады в Пекине, цензурируется и имеет проблемы с безопасностью

Так, расследованием по поводу приложения My2022 занималась группа Citizen Lab, которая специализируется на исследованиях по кибербезопасности в области прав человека. Ранее Citizen Lab уже участвовала в расследовании шпионской программы Pegasus.

Поскольку Олимпиада в Пекине, которая стартует уже 4 февраля, будет проходить в условиях пандемии коронавируса, все ее участники ㅡ спортсмены, тренеры, организаторы, журналисты и т.д. — должны установить приложение My2022, с помощью которого будут отслеживать данные о здоровье людей.

Приложение многофункциональное: его можно использовать для предоставления необходимой мединформации, паспортных данных, истории путешествий для тех, кто приехал из-за границы, а также для получения новостей об Олимпиаде, погоде, переписываться в текстовом и голосовом чате, пересылать файлы и т.д.

По данным правительства Китая, My2022 создан с участием Организационного комитета Олимпийских игр в Пекине, а общедоступная информация из магазинов приложений показывает, что программа принадлежит китайской госкомпании Beijing Financial Holdings Group.

Какие риски?

Киберспециалисты обнаружили, что приложение My2022 не проверяет SSL-сертификаты, которые отвечают за то, чтобы обмен данными шел только с надежных устройств и серверов, что является серьезной уязвимостью.

Потенциально злоумышленники могут похищать паспортные и медицинские данные из приложения, а сама программа достаточно уязвима для атак. Кроме того, некоторые данные вообще не шифруются, поэтому их может получить любой пассивный «подслушивающий», например, в зоне действия незащищенной точки доступа Wi-Fi.

Цензура

Среди прочего, в My2022 нашли файл под названием illegalwords.txt («запрещенные слова»). В нем содержатся 2 442 ключевых слова и фразы, которые преимущественно используются в китайском языке на территории КНР. Однако там также заметили слова из уйгурского, тибетского, китайского языка, используемого в Гонконге и Тайване, а также английского.

В частности, в файле перечислены бранные выражения, имена китайских лидеров и правительственных учреждений, а также «политически чувствительные» слова, например ссылка на убийство продемократических демонстрантов на площади Тяньаньмэнь в 1989 году и запрещенную в Китае религиозную группу «Фалуньгун».

Несмотря на то, что файл есть в программе, Citizen Lab не смогли найти ни одной функции, где бы эти ключевые слова использовались для цензурирования. Также непонятно, полностью ли этот список ключевых слов неактивен, и если да, то намеренно ли. Однако, как говорят киберспециалисты, в программе все же есть возможность включить цензуру.

Какая реакция?

Как пишет Deutsche Welle, Citizen Lab в начале декабря 2021 года конфиденциально проинформировала китайский оргкомитет о результатах исследования и подождала 45 дней для устранения проблемы, прежде чем опубликовать их.

Но, как сообщили киберспециалисты, до сих пор реакции не последовало. На платформах Apple и Google было опубликовано обновление программы, но проверка, проведенная сотрудниками Citizen Lab 17 января, не обнаружила изменений ни в уязвимостях, ни в списке «запрещенных слов».