Войти в почту

В приложении для участников Олимпийских игр в Пекине обнаружен шпионский код

Большой брат ИБ-исследователь Джонатан Скотт обнаружил, что обязательное приложение для участников Олимпиады в Пекине для iOS и Android шпионит за участниками Игр. Он опубликовал свои выводы в Twitter после исследования приложения My 2022. Как оказалось, оно следит за пользователями, записывая аудио и отсылая его для расшифровки на китайские серверы. My 2022 - это приложение, при помощи которого спортсмены, тренеры, журналисты, руководство и весь персонал Зимних Олимпийских игр 2022 года в Пекине обязаны предоставлять сведения о своем здоровье китайским властям. Оно предназначено для отслеживания распространения COVID-19, а также служит информационным центром для получения сведений о событиях, погоде и достопримечательностях. Пользователи также будут обязаны внести в приложения свои паспортные данные, информацию о прилете и вылете из Китая. В описании в App Store утверждается, что приложение собирает только "обезличенные" данные, как и любое современное приложение - контактную информацию, местоположение и прочее. Информации, указывающей на то, что My 2022 ведет прослушку и направляет запись на китайские серверы, - нет. Скотт в свою очередь доказал, что приложение действительно носит шпионский характер. Для этого My 2022 не использует какие-либо эксплойты или бреши в системе безопасности смартфонов - оно просто ведет активную прослушку. Единственный способ остановить прослушку - удалить приложение, так как его закрытие не помогает. Приложение само себе дает разрешение на работу и запись всего происходящего в фоновом режиме. Также стало известно, что My 2022 использует технологию искусственного интеллекта китайского стартапа iFlytek, который ранее был внесен в черный список США из-за якобы связи с "геноцидом уйгуров" в Китае. В середине января газета The New York Times со ссылкой на исследование Citizen Lab предупреждала, что в My 2022 обнаружены серьезные недостатки в шифровании данных. Это, по словам издания, ставит под угрозу тысячи участников и "вызывает вопросы" в безопасности систем отслеживания вспышек COVID-19. В отчете отмечается, что My 2022 никак не шифрует данные, направляемые на сервер, что позволяет хакерам с легкостью их перехватить. Кроме того, встроенная служба обмена сообщениями не шифрует метаданные, благодаря чему злоумышленники или администраторы общественных Wi-Fi-точек могут определить, кто и когда отправлял сообщения. "Вся информация, которую вы передаете, может быть перехвачена, особенно если вы находитесь в ненадежной сети, такой как Wi-Fi в кафе или отеле", - отметил Джеффри Нокель, научный сотрудник Citizen Lab и один из авторов исследования. Он считает, что конфиденциальная информация, полученная таким образом, может быть использована для кражи личных данных. Руководитель отдела по защите персональных данных Б-152, сертифицированный профессионал в области информационной приватности (CIPP/Е) Максим Зиновьев в беседе с "Газетой.Ru" рассказал, что приложение My 2022 явно нарушает права его пользователей. "Приложение My 2022 является демонстрацией нарушения фундаментальных прав гостей Олимпийских игр 2022 в Пекине, атлетов и прочих пользователей. С ноября 2021 г. в Китае действует новый закон Personal Information Protection Law of the People's Republic of China (PIPL), который призван защищать права субъектов персональных данных в Китае. PIPL - один из законов, принятых вслед за GDPR, и во многом заимствует принципы Регламента ЕС. Очевидно, что разработчик приложения My 2022 нарушает основные нормы PIPL о прозрачности обработки данных, и оценке рисков при внедрении таких технологий, как запись голоса", - считает Зиновьев. Ранее Великобритания, Германия, Австралия, США и многие другие страны рекомендовали своим спортсменам не брать на Олимпиаду личные гаджеты из-за возможности шпионажа со стороны Китая. Вместо этого им предложили выдать одноразовые телефоны.

В приложении для участников Олимпийских игр в Пекине обнаружен шпионский код
© Газета.Ru