모든 참석자가 다운로드해야 하는 2022년 올림픽 앱은 보안 악몽, 연구원 발견

새로운 보고서에 따르면 2022년 베이징 올림픽 방문객이 다운로드해야 하는 앱 은 사이버 보안의 악몽이기도 하다.

올해 W inter Gmes 관람객 필수 앱인 MY2022 는 관광 추천, 코로나바이러스 관련 건강 모니터링, GPS 내비게이션 등 다양한 서비스를 제공합니다. 베이징 조직위원회가 설계했으며 공식적으로는 국영 중국 기업인 Beijing Financial Holdings Group이 소유하고 있습니다. 이 앱은 방문자 경험을 강화해야 하지만, 연구원들은 이 앱이 사용자에 대한 풍부한 개인 정보도 수집한다는 사실을 발견했습니다.

토론토 대학 시티즌 랩(Citizen Lab) 디지털 연구원의 새로운 보고서 에 따르면 앱이 너무 안전하지 않아 지난해 말 발효 된 중국의 데이터 보안법인 중국 개인 정보 보호법을 위반할 수 있다고 합니다. 중국 시민을 위한 기본적인 데이터 보호를 보장합니다. 보고서는 앱이 Android 생태계에서 악성 앱을 제거하는 데 도움이 되는 Google의 원치 않는 소프트웨어 정책 과 Apple의 App Store 지침 을 위반할 수도 있다고 밝혔습니다.

연구원들은 iOS용 버전 2.0.0과 Android용 버전 2.0.1을 살펴보았으며 둘 다 데이터 암호화 및 전송을 처리하는 방식에서 유사한 결함을 겪고 있는 것으로 나타났습니다.

Citizen Lab에 따르면 앱은 SSL 인증서의 유효성 을 검사하는 데 실패하는 경우가 많습니다 . 즉, 실제로 전송하는 데이터를 어디로 보내는지 확인하지 않습니다. 이는 공격자가 합법적인 웹 사이트에 대한 연결을 스푸핑하여 앱에서 보낸 데이터를 도용 할 수 있는 잠재적인 중간 사이버 공격에 대한 사용자를 설정 합니다 . 동시에 연구원들은 앱 이 SSL 암호화나 기타 보안 보호 없이 특정 종류의 메타데이터를 전송한다는 사실을 발견했습니다.

요약하자면, MY2022는 사용자에 대한 민감한 건강 및 여행 정보(여권 세부 정보, 병력, 인구 통계 데이터 등)를 대량으로 수집함에도 ​​불구하고 이를 보호할 보호 장치가 부족합니다. 연구원들은 한 달 전인 12월 3일 베이징 조직위원회에 이러한 문제를 공개했지만 회신을 받지 못했다고 말합니다.

우리는 이 이야기에 대한 논평을 위해 베이징 조직위원회에 연락했으며 그들이 응답하면 업데이트할 것입니다.

베이징 위원회는 Citizen Lab 에 응답 하지 않았지만 최근에 iOS용 2.0.5라는 최신 버전의 앱을 내놓았습니다. 이 앱 은 보고된 보안 문제를 수정하지 않았을 뿐만 아니라 분명히 새로운 문제를 도입했습니다 . 앱 버전에는 다른 기능과 마찬가지로 데이터를 안전하지 않게 전송하는 여행 문서 및 건강 데이터를 처리하도록 설계된 Green Health Code라는 새로운 기능이 포함되어 있습니다.

감시 골리앗 으로서의 중국의 지위를 감안할 때 이 조잡한 보안 설계를 일종의 의도적인 중국 정부가 방문자의 정보를 빨아들이려는 음모로 보는 것은 유혹적일 수 있습니다. 그리고 MY2022가 의심스러워 보일 수 있지만 Citizen Lab은 그것이 그것보다 완전히 덜 사악한 것일 수 있다고 추론합니다. 그들은 도난에 취약한 대부분의 데이터가 이미 중국 정부에 의해 공개적으로 수집되고 있다는 점에 주목합니다(앱의 개인 정보 보호 정책에 설명되어 있음). 따라서 감시 해결 방법을 구현할 이유가 거의 없을 것입니다. 보고서는 또한 중국 앱 생태계 전반 에 걸쳐 디지털 보안이 그다지 좋지 않기 때문에 MY2022 개발자가 교활한 앱이 아니라 단순히 망친 앱을 만든 경우일 수 있다고 지적합니다.

연구원들은 보안 실패에 대해 “우리는 이처럼 광범위한 보안 부족이 정부의 방대한 음모의 결과라기보다는 중국의 소프트웨어 개발자에 대한 우선 순위가 다른 것과 같은 더 간단한 설명의 결과라고 믿습니다 .