Salı günü yayınlanan bir rapora göre, önümüzdeki ay Pekin’deki Kış Oyunlarına katılacak sporcular ve diğerleri tarafından yaygın olarak kullanılması beklenen bir akıllı telefon uygulaması, hassas verileri ele geçirmeye maruz bırakabilecek bariz güvenlik sorunlarına sahip.
Bir İnternet gözlemci grubu olan Citizen Lab, yaptığı açıklamada bildiri MY2022 uygulaması, kullanıcıların hassas verilerini – ve bu veriler aracılığıyla iletilen diğer verileri – saldırıya açık hale getirecek ciddi biçimde kusurlu şifrelemeye sahiptir. Raporda, uygulamadaki diğer önemli kullanıcı verilerinin hiç şifrelenmediği bulundu.
Bu, verilerin Çin İnternet servis sağlayıcıları veya telekomünikasyon şirketleri tarafından otellerde, havaalanlarında ve Olimpiyat tesislerinde Wi-Fi noktaları aracılığıyla okunabileceği anlamına geliyor.
Citizen Lab raporu, uygulamanın oyunlara katılanlar için zorunlu olduğunu söyledi ve Uluslararası Olimpiyat Komitesi’nin resmi rehberliği, katılımcılara Çin’e gelmeden önce uygulamayı indirmeleri talimatını verdi. Ancak IOC Salı günü akıllı telefon uygulamasının zorunlu olmadığını belirten bir bildiri yayınladı.
IOC ayrıca, iki bağımsız siber güvenlik test kuruluşunun uygulamada hiçbir kritik güvenlik açığı bulamadığını söyleyerek Citizen Lab’in raporuna karşı çıktı.
Çin, antrenörler ve gazeteciler de dahil olmak üzere tüm uluslararası Olimpiyat katılımcılarının ayrılmalarından en az 14 gün önce bir sağlık izleme sistemine giriş yapmalarını şart koşuyor. Bunu yapmak için uygulamayı kullanabilir veya bir PC’deki bir Web tarayıcısı aracılığıyla oturum açabilirler. Uygulama, kullanıcıların günlük olarak gerekli sağlık bilgilerini göndermelerine olanak tanır ve Çin’in 4 Şubat’ta başlayacak oyunlara ev sahipliği yaparken koronavirüs pandemisini yönetmek için gösterdiği agresif çabanın bir parçasıdır. öneriler ve GPS navigasyonu.
Citizen Lab’in raporu, sporcuların verileri ve mahremiyetiyle ilgili artan endişelerin ortasında geliyor. Haberlere göre, birçok ülke sporcularına normal akıllı telefonlarını Çin’e götürmemelerini, bunun yerine hassas kişisel verileri depolamayan geçici veya yakıcı telefonlar getirmelerini tavsiye ediyor.
ABD Olimpiyat ve Paralimpik Komitesi, sporculara “her cihazın ve her iletişimin, işlemin ve çevrimiçi etkinliğin izleneceğini varsaymalarını” söyleyen bir tavsiye yayınladı.
Danışmanlık, “Çin’de faaliyet gösterirken veri güvenliği veya mahremiyet beklentisi olmamalıdır” dedi.
Çin, vatandaşlarına yönelik kas gözetleme ve diğerleri üzerinde saldırgan siber casusluk yapma konusunda iyi belgelenmiş bir geçmişe sahiptir. Ancak Citizen Lab, MY2022 uygulamasındaki kolayca keşfedilebilir güvenlik açıklarının Çin hükümeti tarafından kasıtlı olarak yerleştirildiğine dair hiçbir kanıt olmadığını söyledi. Raporda, birincisi, uygulamada tutulan hassas sağlık bilgilerinin çoğunun sağlık gümrük formları aracılığıyla doğrudan yetkililere sunulması gerektiği belirtildi.
Citizen Lab, MY2022 uygulamasında bulunan güvenlik açıklarının popüler Çin Web tarayıcılarında bulunanlara benzer olduğunu söyledi ve “kullanıcı verilerinin yetersiz korunmasının Çin uygulama ekosistemine özgü olduğunu” kaydetti.
Raporda, “Popüler Çin uygulamalarını analiz eden önceki çalışmaların ışığında, MY2022 ile ilgili bulgularımız şaşırtıcı olmasa da şaşırtıcı değil” dedi.
Citizen Lab, güvenlik sorunlarını geçen ay Pekin Organizasyon Komitesine bildirdiğini ancak yanıt alamadığını söyledi. Raporda ayrıca, uygulamanın güvenlik açıklarının Apple’ın ve Google’ın iPhone telefonlarında ve Android cihazlarda kullanılan yazılım politikalarına ters düşebileceği belirtildi. İki şirket hemen bir yorum talebi göndermedi.
MY2022 uygulamasının Android sürümü, siyasi olarak hassas olabilecek ve Çin’in Tibet ve Uygur etnik grubuna yönelik eylemleriyle ilgili olabilecek bazıları da dahil olmak üzere 2.442 anahtar kelime içeren “illegalwords.txt” adlı bir liste içeriyordu.
Rapor, listenin uygulamayla birlikte paketlenmesine rağmen, çalışmıyor gibi göründüğünü söyledi. Çin hükümeti, uzun süredir teknoloji şirketlerinin, politik olarak hassas veya uygunsuz olduğu düşünülen içeriği ve anahtar kelimeleri sansürlemesini şart koşuyor.
.
genel-8