แอปโอลิมปิกปี 2022 ที่ผู้เข้าร่วมทุกคนต้องดาวน์โหลดคือฝันร้ายด้านความปลอดภัย นักวิจัยค้นหา

แอพที่ผู้เข้าชมการแข่งขันกีฬาโอลิมปิกปี 2022 ที่ปักกิ่งจำเป็นต้องดาวน์โหลดก็ เป็นฝันร้ายด้านความปลอดภัยทางไซเบอร์ที่คุกคามที่จะเปิดเผยข้อมูลส่วนใหญ่ที่รวบรวมตามรายงานใหม่

MY2022แอปบังคับสำหรับผู้มาเยี่ยมชมงาน W inter G ames ประจำปีนี้ นำเสนอบริการที่หลากหลาย รวมถึงคำแนะนำด้านการท่องเที่ยว การตรวจสอบสุขภาพที่เกี่ยวข้องกับโควิด และระบบนำทางด้วย GPS ได้รับการออกแบบโดยคณะกรรมการจัดงานปักกิ่ง และเป็นเจ้าของอย่างเป็นทางการโดย บริษัท Beijing Financial Holdings Group ของจีนที่ได้รับการสนับสนุนจากรัฐ ในขณะที่ แอ ปควรจะให้ประสบการณ์แก่ผู้เยี่ยมชมที่เพิ่มขึ้น นักวิจัยพบว่า มันยังรวบรวมข้อมูลส่วนบุคคลมากมายเกี่ยวกับผู้ใช้ที่เห็นได้ชัดว่ามันใช้ความพยายามเป็นศูนย์รักษาความปลอดภัย

ตามรายงานใหม่จากนักวิจัยดิจิทัลกับ Citizen Lab ที่มหาวิทยาลัยโตรอนโต แอปไม่ปลอดภัยมากจนอาจละเมิดกฎหมายความปลอดภัยของข้อมูลของจีนเอง กฎหมายคุ้มครองข้อมูลส่วนบุคคลของจีน ซึ่งมีผลบังคับใช้เมื่อปลายปีที่แล้ว และควรจะ รับรองการปกป้องข้อมูลขั้นพื้นฐานสำหรับชาวจีน แอปอาจละเมิดนโยบายซอฟต์แวร์ที่ไม่ต้องการของ Googleซึ่งช่วยให้สามารถกำจัดแอปที่เป็นอันตรายในระบบนิเวศของ Android รวมถึงหลักเกณฑ์ App Store ของ Apple

นักวิจัยดูเวอร์ชัน 2.0.0 สำหรับ iOS และเวอร์ชัน 2.0.1 สำหรับ Android โดยพบว่าทั้งคู่ดูเหมือนจะประสบกับข้อบกพร่องที่คล้ายคลึงกันในการจัดการการเข้ารหัสและการส่งข้อมูล

จากข้อมูลของ Citizen Lab แอปมักจะล้มเหลวในการตรวจสอบใบรับรอง SSLซึ่งหมายความว่าไม่ได้ตรวจสอบว่าจริง ๆ แล้วที่ส่งข้อมูลที่ส่งไป สิ่งนี้จะตั้งค่าผู้ใช้สำหรับการ โจมตี ทาง ไซเบอร์ ที่อาจเกิดขึ้นจากตรง กลาง ซึ่งผู้โจมตีสามารถปลอมแปลงการเชื่อมต่อไปยังเว็บไซต์ที่ถูกต้องตามกฎหมาย และด้วยเหตุนี้จึงขโมยข้อมูลที่ส่งมาจาก แอป ในเวลาเดียวกัน นักวิจัยพบว่าแอปยังส่งข้อมูลเมตาบางประเภทโดยไม่มีการเข้ารหัส SSL หรือการป้องกันความปลอดภัยอื่นๆ เลย ทำให้เปิดกว้างสำหรับการตรวจสอบสาธารณะในบางกรณี

โดยสรุป แม้ว่าจะรวบรวมข้อมูลด้านสุขภาพที่ละเอียดอ่อนและข้อมูลการเดินทางของผู้ใช้จำนวนมาก (เช่น รายละเอียดหนังสือเดินทาง ประวัติทางการแพทย์ ข้อมูลประชากร และอื่นๆ) MY2022 ยังขาดการป้องกันในการปกป้องข้อมูลดังกล่าว นักวิจัยกล่าวว่าพวกเขาได้เปิดเผยประเด็นเหล่านี้ต่อคณะกรรมการจัดงานปักกิ่งเมื่อ 1 เดือนที่แล้วเมื่อวันที่ 3 ธันวาคม แต่ไม่เคยได้รับการตอบกลับ

เราติดต่อคณะกรรมการจัดงานปักกิ่งเพื่อขอความคิดเห็นเกี่ยวกับเรื่องนี้ และจะอัปเดตหากพวกเขาตอบกลับ

ในขณะที่คณะกรรมการปักกิ่งไม่เคยตอบสนองต่อ Citizen Lab เมื่อเร็ว ๆ นี้ได้เปิดตัวแอปเวอร์ชันใหม่กว่า 2.0.5 สำหรับ iOS ซึ่งไม่เพียง แต่ไม่สามารถ แก้ไขปัญหาด้านความปลอดภัยที่รายงานได้ แต่ยังเปิดตัวแอปใหม่: ใหม่ล่าสุด เวอร์ชันของแอปมีคุณลักษณะใหม่ที่เรียกว่า Green Health Code ซึ่งออกแบบมาเพื่อจัดการเอกสารการเดินทางและข้อมูลด้านสุขภาพที่ส่งข้อมูลอย่างไม่ปลอดภัย เช่นเดียวกับคุณลักษณะอื่นๆ ของแอป

เนื่องจากจีนมีสถานะเป็นโกลิอัทสอดส่องดูแล จึงอาจเป็นเรื่องยากที่จะเห็นการออกแบบระบบรักษาความปลอดภัยที่ต่ำต้อยนี้เป็นแผนการของรัฐบาลจีนที่มีจุดประสงค์เพื่อดูดข้อมูลของผู้มาเยือน และ ในขณะที่ MY2022 อาจดูน่าสงสัย Citizen Lab อนุมานว่ามันอาจจะเป็นสิ่งที่น่ากลัวน้อยกว่านั้นทั้งหมด พวกเขาทราบว่าข้อมูลส่วนใหญ่ที่ถูกปล่อยให้เสี่ยงต่อการถูกขโมยนั้นถูกรวบรวมอย่างเปิดเผยโดยรัฐบาลจีนแล้ว (นโยบายความเป็นส่วนตัวของแอปอธิบายเรื่องนี้)—ดังนั้นจึงไม่มีเหตุผลเล็กน้อยที่จะใช้วิธีแก้ไขปัญหาการเฝ้าระวัง รายงานยังระบุด้วยว่าการรักษาความปลอดภัยทางดิจิทัลในระบบนิเวศของแอปของจีนโดยรวม นั้นไม่ค่อยดี นัก ดังนั้น อาจเป็นกรณีที่นักพัฒนาซอฟต์แวร์ MY2022 ได้สร้างแอปห่วยๆ ขึ้นมา ไม่ใช่แอปแอบแฝง

“เราเชื่อว่าการขาดความปลอดภัยในวงกว้างดังกล่าวมีโอกาสน้อยที่จะเป็นผลมาจากการสมคบคิดของรัฐบาลครั้งใหญ่ แต่กลับเป็นผลมาจากคำอธิบายที่ง่ายกว่า เช่น ลำดับความสำคัญที่แตกต่างกันสำหรับนักพัฒนาซอฟต์แวร์ในประเทศจีน” นักวิจัยเขียนถึงความล้มเหลวด้านความ ปลอดภัย