Ekspertas: privaloma olimpinė programėlė turi svarbių šifravimo trūkumų

„Paprastas, bet labai svarbus trūkumas“ programėlės MY2022 šifravime – o programėlė bus naudojama stebėti COVID ir todėl privaloma sportininkams, žurnalistams ir kitiems žaidynių Kinijos sostinėje dalyviams – gali leisti nutekėti sveikatos informacijai, balso žinutėms ir kitiems duomenims, perspėjo „Citizen Lab“ ataskaitos autorius Jeffrey Knockelis.

Tarptautinis olimpinis komitetas (TOK) reagavo į šią ataskaitą sakydamas, kad vartotojai gali išjungti programėlės prieigą prie tam tikros informacijos savo telefone ir kad dviejų neįvardytų kibernetinės saugos organizacijų vertinimai „patvirtino, kad nėra jokių kritinių spragų“.

TOK teigė paprašęs „Citizen Lab“ pateikti ataskaitą „siekiant geriau suprasti jų susirūpinimą“.

„Citizen Lab“ teigė, kad apie problemas pranešė Kinijos žaidynių organizaciniam komitetui gruodžio pradžioje ir davė jiems 15 dienų atsakyti ir 45 dienas problemai išspręsti, tačiau atsakymo negavo.

„Žinoma iš anksčiau, kad Kinija kenkia šifravimo technologijoms, kad galėtų vykdyti politinę cenzūrą ir sekimą“, – rašė J. Knockelis.

„Todėl pagrįstai kyla klausimas, ar šios programėlės šifravimas buvo tyčia sabotuotas sekimo tikslais, ar defektas atsirado dėl kūrėjo aplaidumo“, – tęsė jis ir pridūrė, kad „jei Kinijos vyriausybė sabotuoja MY2022 šifravimą, tai toks atvejis yra problemiškas. “

Trūkumai turi įtakos SSL sertifikatams, kurie leidžia internetiniams subjektams saugiai bendrauti.

MY2022 nepatvirtina SSL sertifikatų autentiškumo, o tai reiškia, kad kiti asmenys gali pasiekti programėlės duomenis, o duomenys perduodami be įprasto šifravimo, kurį turi SSL sertifikatai, rašė J. Knockelis.

Nors programėlė deklaruoja renkanti medicininius duomenis, kurių pagalba Kinija siekia kontroliuoti COVID-19 atvejus, jis sakė, kad „neaišku, su kuo ir su kokiomis organizacijomis ji dalijasi šia informacija“.

MY2022 taip pat turi failą „illegalwords.txt“, kuriame yra „politiškai jautrių“ frazių Kinijoje sąrašas, daugelis jų yra susiję su Kinijos politine padėtimi arba jos tibetiečių bei uigūrų musulmonų mažumomis.

Jame yra ir tokie raktiniai žodžiai kaip „CCP blogis“ ir Xi Jinpingas, Kinijos prezidentas, nors J. Knockelis teigė, kad neaišku, ar šis failas aktyviai naudojamas cenzūros tikslais.

Dėl šių savybių programa gali pažeisti tiek „Google“, tiek „Apple“ politiką, susijusią su išmaniųjų telefonų programine įranga, taip pat „pačios Kinijos įstatymus ir nacionalinius privatumo apsaugos standartus, atveriant kelius ateityje reikalauti atlyginti žalą“, – rašė jis.