Araştırmacılar, yaklaşmakta olan Pekin Kış Olimpiyatları katılımcılarının güvenlik açıklarıyla gölgelenen bir mobil uygulama kullanmaları gerektiğini iddia etti.
iOS ve Android cihazlar için My 2022 mobil uygulaması, yaklaşan oyunların tüm katılımcıları (sporcular, ziyaretçiler, gazeteciler ve diğerleri dahil) için sohbet mesajlaşma, çeviri, ulaşım, yarışma bilgileri ve ayrıca bir dizi işlev için gereklidir. sağlık verileri.
Tüm kullanıcılar, pasaport bilgilerini ve seyahat planlarını uygulama ile paylaşmalı, vücut ısısı, solunum güçlüğü veya kullanılan ilaçlar gibi kişisel sağlık bilgilerini ülkeye gelmeden iki hafta önce eklemeli ve kullanmaya devam ettiğinden emin olmalıdır. Çin’deyken.
Uygulama kusurları
Ancak CitizenLab araştırmacılarına göre, uygulama görünüşte kötü niyetli bir web sitesini ziyaret etmesi için kandırılabilir. Takım açıkladı uygulamanın, bir web sitesinin kimliğini doğrulamak ve bağlantının güvenli olduğundan emin olmak için kullanılan SSL sertifikalarını nasıl doğrulayamadığı. Ziyaretçiler, oturum açma bilgilerini sahte bir web sitesiyle paylaşabilir veya hatta kötü amaçlı yazılım indirebilir.
Araştırmacılar, sohbet hizmetinin de kusurlu olduğunu, hizmet aracılığıyla aktarılan meta verileri düzgün bir şekilde şifreleyemediklerini ekledi, bu da halka açık Wi-Fi üzerinden geçen belirli meta verilerin ele geçirilebileceği anlamına geliyor. Bu meta veriler, sohbet katılımcılarının adlarını ve hesap tanımlayıcılarını içerir.
Şaşırtıcı olmayan bulgular
Araştırmacılar, Android sürümünde bir hesap oluşturamadıkları için bu kusurları öncelikle iOS sürümünde buldular. Ancak, herkese açık özelliklerde benzer güvenlik açıkları bulduklarını iddia ediyorlar.
Ayrıca, bu güvenlik açıklarının muhtemelen kasıtlı olmadığını, bunun yerine Çin’in “siber güvenlik standartlarını gevşek uygulama”sının bir sonucu olduğunu söylüyorlar. Kusurları bulmak onlar için o kadar da büyük bir sürpriz olmadı.
Raporda, “My 2022’nin şifreleme gerçekleştirme biçiminde göze çarpan ve kolayca keşfedilebilir güvenlik sorunları bulurken, benzer sorunları Çin tarafından geliştirilen Zoom’da ve en popüler Çin web tarayıcılarında da gözlemledik” dedi.
Araştırmacılar ayrıca Android sürümünde yaklaşık 2.400 politik açıdan hassas anahtar kelimenin bir listesini bulduklarını söylediler. Liste şu anda etkin olmasa da, uygulama aracılığıyla iletişimleri sansürlemek için kullanılabilir.
Terimlerin çoğu basitleştirilmiş Çinceydi, diğerleri Tibetçe, Uygurca, geleneksel Çince ve İngilizce’ydi.
- Şu anda en iyi güvenlik duvarları listemize de göz atmak isteyebilirsiniz.
