Наверняка вы знаете, что на прошлой неделе стартовали зимние Олимпийские игры в Пекине. Они проводятся в условиях карантина и максимальной изоляции спортсменов и членов делегаций от их коллег из других стран. Во многом именно это привело к тому, что конфиденциальные данные гостей игр оказались под угрозой. Может показаться, что это далеко от нас и вообще нас не касается, но это не так. На самом деле, это скорее звоночек на примере события, где все должно быть подготовлено идеально. Поэтому давайте посмотрим, что случилось, а в конце оценим, как это может повлиять на нас. Так что дочитайте до конца.
Даже к такому грандиозному событию не смогли подготовить защищенное приложение.
Содержание
Данные олимпийцев в опасности
Опасения по поводу конфиденциальности данных о тысячах иностранцев, прибывших в Пекин на зимние Олимпийские игры 2022 года, появились после одного интересного открытия. Канадская исследовательская группа Citizen Lab обнаружила уязвимости в приложении, которое обрабатывает конфиденциальную медицинскую информацию. Китайское правительство требует, чтобы оно было установлено у всех, кто участвует в играх.
Приложение My2022 было разработано оргкомитетом Олимпийских игр как ”универсальное средство контроля вопросов противоковидной безопасности”. Персонал Олимпийских игр, волонтеры, спортсмены со всего мира, их команды, пресса и другой персонал скачивают это приложение и загружают в него свои данные.
Как фитнес-браслет помогает ленивым. Рассказываем с примерами.
Какие данные дают олимпийские спортсмены
Те, кто едут в закрытые зоны своего проживания на время игр, должны были загрузить приложение за 14 дней до прибытия и предоставить личную информацию вместе с тестами на COVID-19, которые они сделали, статусом вакцинации и самооценкой своего здоровья.
Идея с приложением хорошая, Но реализована с ошибками.
Citizen Lab обнаружила, что приложению не удается проверить сертификаты шифрования SSL, которые оно получает от некоторых своих хостов, что потенциально позволяет злоумышленникам подделывать имена хостов и перенаправлять данные в свои руки. В приведенном примере ”health.customsapp.com” клиент может передать паспорт и данные о состоянии здоровья на сервер. Кроме того, некоторые соединения даже не имеют шифрования по SSL или любому другому стандарту. Одним из таких путей является ”tmail.beijing2022.cn”, который предположительно имеет дело с идентификацией участников и обменом файлами.
Опасная версия приложения My2022
Эти результаты были проверены с версиями 2.0.0 и 2.0.5 приложения My2022 для iOS до середины января и предполагается, что такие же проблемы с безопасностью есть и на стороне Android. Сообщенные недостатки не только показывают, что My2022 противоречит условиям конфиденциальности Apple и Google, но и нарушает ряд законов Китая о кибербезопасности от 2016 года.
Интересно, что в приложении есть функция отчетности, которая позволяет пользователям сообщать о нарушениях другими людьми вопросов цензуры, которая довольно сильно развита в Китае. Citizen Lab утверждает, что это обычная функция для приложений в Китае, но она может открыть потенциал для злоупотреблений.
Чьей-то невидимой руке достаточно только потянуться и взять данные пользователей.
Многие даже сразу сказали, что отсутствие шифрования и вопросы контроля данных, отправленных в приложении, связаны. Но говорить об этом с уверенностью не стоит, ведь данные и так передаются всем заинтересованным лицам и нет смысла намеренно их уводить на сторону. Куда логичнее предположить, что это именно упущение создателей приложения.
Худеем к лету: 9 крутых товаров для спорта, которые точно стоит купить.
Опасно ли устанавливать неизвестные приложения
А теперь представьте, сколько таких приложений под конкретное мероприятие создается в мире. Каждое из них из-за спешки, экономии или недостаточной компетенции разработчиков может быть потенциально опасными для наших персональных данных. Допустим, вы бы собрались поехать на Олимпийские игры в Пекин. Вам бы тоже пришлось скачать это приложение, и ваши личные данные были бы под угрозой.
Любое приложение, которое создается в подобных условиях, может нести свои риски, и появление такой дыры в безопасности лишний раз доказывает, что никто не защищен на 100%, даже когда за дело берутся организаторы серьезного мероприятия. Что уже говорить о каких-то более мелких приложениях.
