多伦多一家技术实验室的研究人员在一款应用程序中发现了安全漏洞和控制框架,北京 2022 年奥运会的所有参与者都必须使用该应用程序。
多伦多大学蒙克全球事务和公共政策学院的一个研究间谍软件的研究所公民实验室在 MY2022 应用程序中发现了一个“轻微但具有破坏性”的缺陷,该应用程序制作了传达护照详细信息的音频文件、健康和海关表格,海盗容易受到医疗和旅行史的影响。
研究人员 Jeffrey Nokel 发现 MY2022 不验证某些 SSL 证书,这是一种使用加密来保护应用程序并确保未经授权的人无法访问传输中的信息的数字基础设施。
这种验证失败意味着应用程序可能被欺骗与它不信任的恶意主机进行通信,从而允许应用程序传输到服务器的信息被拦截,并允许攻击者向用户显示虚假指令。
“最糟糕的情况是有人拦截了所有流量并记录了所有护照详细信息和所有医疗详细信息,”研究助理 Knockel 说,他在被一名对其安全工作感兴趣的记者接触后调查了该应用程序。
观看 | UofT 网络安全专家对北京奥运会的实施表示担忧:
奥运会组织者要求所有奥运会参与者,包括运动员、观众和媒体成员,至少在抵达前 14 天下载并开始使用 MY2022 应用程序,以提供健康和海关信息,例如 COVID-19 测试结果和疫苗接种状态中国。
来自一家名为北京金融控股集团的国有公司的应用程序还提供 GPS 导航、文本、视频和语音聊天功能,传输文件的能力,以及提供新闻和天气更新的能力。
Knockel 发现不清楚该应用程序与谁共享高度敏感的医疗信息。
审查关键字列表
奥运会手册确定了可能由北京 2022、国际奥委会和残奥委员会、中国当局和“其他参与实施 [COVID-19] 对策。”
Knockel 表示,MY2022 确定了在未经用户同意的情况下披露个人信息的几种情况,包括但不限于国家安全事务、公共卫生事件和刑事调查。
但是,该申请没有具体说明是否需要法院命令才能访问此信息以及谁有资格接收数据。
这份清单包括 2,442 个政治术语,其中一些与新疆和西藏的紧张局势有关,以及对中国政府机构的提及。 该清单包括翻译为“犹太人是猪”和“中国人是狗的狗”的中文短语,维吾尔语中的“古兰经”和藏语中指代达赖喇嘛的词语。
Knockel 无法找到应用程序正在使用菜单的证据。
“我们不知道他们是否打算将其设为非活动状态,或者是否打算将其激活,但无论哪种方式,它都是……可以通过按下按钮启用,”Nokel 说。
Citizen Lab 于 12 月 3 日向组委会披露了它在 MY2022 中发现的问题,给予他们 15 天的时间来回应和 45 天的时间来解决问题,然后再公开披露这些问题。
国际奥委会要求提供实验室报告的副本
1 月 6 日,为 iOS 用户发布了新版本的 MY2022,但 Citizen Lab 表示更新没有解决任何问题。 事实上,Citizen Lab 表示,此次更新引入了一个新的“绿色健康码”功能,该功能可以收集更多的医疗数据,并且由于缺乏 SSL 证书验证而容易受到攻击。
北京组委会没有回应置评请求。
国际奥委会在一份声明中表示,它已要求提供一份公民实验室报告的副本,以更好地了解其担忧。
国际奥委会表示,它在 MY2022 与两家网络安全测试机构进行了独立的第三方评估,发现该应用程序不存在严重漏洞。
在一份声明中,她说她建议加拿大队成员将个人设备留在家中,限制存储在带入游戏的电子设备上的个人信息,仅连接到官方 Wi-Fi 网络,在不使用时关闭发送功能并删除任何游戏- 相关的应用程序。 当它们不再需要时。
Knockel 建议前往奥运会的任何人仅在连接到他们信任的网络(例如 VPN)时才使用该应用程序。
他说,奥运会参与者还应该考虑将在 2022 年不强制完成的会谈和其他行动推广到其他安全性更高的应用程序。
“但这很难,”他说。 “即使他们知道应用程序中的漏洞,他们也可能别无选择。”
“培根忍者。旅行擁護者。作家。流行文化不可治癒的專家。邪惡的殭屍怪胎。終身咖啡學者。酒精專家。”
More Stories
中国的极端球迷文化让奥运金牌喜忧参半
“我并不是生来就是胜利者”:中国游泳运动员潘占利谈成名之路
AFL 与俱乐部就潜在的规则变更、6-6-6 规则、减少进攻时间和最新消息进行沟通