Откриха пропуски в сигурността на Олимпиадата в Пекин
Всеки, който ще пътува до Китай за Олимпийските игри през 2022 година, би трябвало да конфигурира приложението „ MY2022 “. Но този програмен продукт има съществени пропуски, които заплашват сигурността на Игрите. Това демонстрира отчетът за ИТ сигурността, получен и оповестен от DW.
В момента спортисти от цялостен свят се приготвят за пътуването за Зимните олимпийски игри в Пекин. Тази година това значи съблюдаване на настоящите здравни разпореждания. Спортистите би трябвало да конфигурират формалното приложение, наречено „ MY2022 “ на своя смарт телефон. Това приложение обаче не криптира задоволително данните, съгласно отчета " Citizen Lab ", който Дойче веле имаше изключителното право да прегледа. Това слага спортисти, публицисти и длъжностни лица в сериозна заплаха от хакери. Техните данни не са предпазени от кражба и наблюдаване. Освен това ИТ криминалистите откриха лист с цензурирани термини в приложението.
Сигурността на данните на Зимните олимпийски игри в Пекин по този начин или другояче е подложена на критика: Германия, Австралия, Англия и Съединените щати приканват своите национални олимпийски комитети и спортистите си да оставят персоналните си телефони и преносими компютри вкъщи. Вместо това те би трябвало да носят със себе си специфични устройства единствено за Олимпийските игри - има толкоз огромен боязън от цифровия шпионаж. Поради тази причина Олимпийският комитет на Холандия даже категорично забрани на своите спортисти да носят персонални мобилни телефони и преносими компютри в Китай.
Зимните олимпийски игри стартират на 4 февруари и ще бъдат вторите, които се организират по време на пандемията от ковид. Ето за какво не е изненадващо, че има приложение за смарт телефони – употребявано е и предходната година на Летните олимпийски игри, с цел да може да се следи възможна зараза.
Съгласно формалните правила на Международния олимпийски комитет (МОК), задължението за инсталирането му се отнася за всички, които ще бъдат в специфичен " олимпийски балон " - за спортисти, треньори, публицисти, спортни чиновници, както и хиляди локални чиновници, които би трябвало да дават здравните си данни в приложението " MY2022 " или на уеб страницата.
Приложението, създадено в Китай, в действителност би трябвало да служи за наблюдаване на здравето на участниците в Олимпийските игри и за наблюдаване на контактите при положение на позитивни проби за ковид.
В заявката би трябвало да бъдат въведени освен паспортни данни и персонални данни за статуса на пътуването, само че и доста медицински данни. Например: страдали ли сте неотдавна от признаци, присъщи за covid 19, като температура, отмалялост, главоболие, суха кашлица или възпалено гърло. Всеки, който идва от чужбина, би трябвало да стартира да вкарва здравни данни в заявката 14 дни преди да влезе в страната.
Проследяването на контакти, основано на приложения, се смята за съвременен метод за битка с пандемията на в доста страни. Китайското приложение „ My2022 “ обаче разрешава повече от просто следене на контакти: то също по този начин контролира разрешението за достъп до олимпийски събития, предлага на посетителите обширна информация за програмата и организацията на спортни събития, предлага туристически услуги на посетителите и даже има функционалност за чат (текстова и аудио форма), вести и прекачване на файлове за потребителите.
Или, както е посочено в магазина на Apple: приложението предлага опция за персонализиране на настройките за разнообразни видове консуматори, „ с цел да се насладят на всички аспекти на Олимпийските игри в едно приложение “.
Уязвимости в сигурността в приложението бяха открити от учени от " Citizen Lab ", които изследват цифровата сигурност, обвързвана с проблемите на правата на индивида, и са свързани с учебното заведение по световни въпроси към Университета в Торонто. Citizens Lab към този момент взе участие в откриването на шпионски програмен продукт на Pegasus.
Конкретната рецензия към тази лаборатория се отнася до т.нар „ SSL-сертификати”, които подсигуряват, че при прекачване на данни връзката се реализира единствено сред надеждни устройства и сървъри – китайското приложение, съгласно „ Citizen Lab”, не ревизира валидността им, което е сериозна дупка в сигурността. В резултат на това приложението може да бъде подведено да комуникира със „ злотворен компютър “, тъй че данните да бъдат прихванати или даже нездравословните данни да бъдат изпратени назад към приложението.
Джефри Кокъл от Citizen Lab откри този пропуск в сигурността освен във връзка с здравните данни, само че и в други значими услуги в приложението. Това се отнася и за услугата за приложения, която обработва всички атачмънти и гласови известия.
Освен това ИТ специалистът открива, че за някои услуги прехвърлянето на данни в приложението въобще не е криптиран, тъй че нападателят може доста елементарно да прочете метаданните от услугата за чат на приложението.
„ Нашите следствия демонстрираха, че ограниченията за сигурност на приложението „ My20220 “ са изцяло неефективни и не защищават от приключване на чувствителни данни към трети страни, неупълномощени страни “, споделя Нокел.
ИТ откриватели откриха и дребен текстов файл, наименуван " illegalwords.txt ". Той изброява 2442 термина и израза, най-вече от писмен китайски, някои изрази на уйгурски, писмен китайски, употребен в Тайван и Хонконг, и британски.
Сред многото термини, в допълнение към псувните, има политически термини, които са табу в комунистически Китай и които са обществено цензурирани от страната: рецензия към Китайската комунистическа партия, нейните водачи и тематики, свързани с Фалун Гонг. Протести има и в Тянанмън, Далай Лама и уйгурското мюсюлманско малцинство в Синджан. В уйгурски, да вземем за пример, терминът " Свещения Коран " е в листата на неразрешените термини, съгласно Sitzen Lab.
И двамата специалисти по ИТ сигурността не съумяха да намерят индикация в настоящата версия на приложението, че този лист с цензурирани термини се употребява интензивно. Освен това, както се споделя, не е изцяло ясно за какво този файл въобще съществува. Джефри Нокел от Citizen Lab сподели: „ Въпреки че файлът „ illegalwords.txt “ сега не се употребява, приложението „ My2022 “ към този момент съдържа функционалности, които могат да четат файла и да го употребяват за цензура, тъй че активирането на цензурирани термини ще изисква единствено малко изпитание. "
Но това, което приложението към този момент съдържа, е функционалност за влизане, при която потребителите на приложението могат да влизат в други консуматори, в случай че считат, че известието в чата е рисково или подозрително. Възможните аргументи за докладване включват опцията „ политически сензитивно наличие “, която нормално се употребява в Китай за политически цензурирани тематики.
Няма реакция от Китайския олимпийски комитет по отношение на уязвимостите в сигурността. В началото на декември 2021 година „ Citizen Lab “ поверително осведоми Китайския учредителен комитет на Олимпийските игри за своите констатации. Както нормално, когато оповестяват за уязвимости в сигурността, те помолиха китайските уредници на Олимпийските игри да поправят рисковите пропуски в границите на 45 дни, преди да бъде оповестен отчетът. „ Организационният комитет не е дал отговор на нашите констатации до момента “, сподели Нокел пред DW.
Междувременно приложението се оферираше и в Ep-магазините на Apple и Гугъл, само че инспекция, направена от специалисти по сигурността „ Citizen Lab “ на 17 януари 2022 година, не откри промени, свързани с цензурирани условия и упоменатите пропуски в сигурността.
В наръчника за спортисти и публични лица Международният олимпийски комитет показва, че приложението „ My2022 “ е „ в сходство с интернационалните стандарти и китайското законодателство “.
Въпреки това, въз основа на своите констатации, Citizen Lab заключава, че незащитеното прекачване на персонални данни „ може да бъде директно нарушаване на китайските закони за дискретност “. В Китай, съгласно разпоредбите за отбрана на данните, информацията, която визира здравето на човек, постоянно би трябвало да се съхранява и предава в криптирана форма.
Резултатите от отчета " Citizen Lab " също повдигат голям брой въпроси пред западните софтуерни колоси, които оферират " My2022 " - Apple и Гугъл. „ Според насоките както на Apple, по този начин и на Гугъл, е неразрешено приложенията да предават чувствителни данни без вярно криптиране. „ И двете компании в този момент би трябвало да решат дали нерешените проблеми със сигурността ще доведат до заличаване (MY2022 приложения) от техните магазини “, сподели Нокел пред DW.
Организационният комитет на Игрите в Пекин през 2022 година обаче отбрани приложението, като акцентира, че то е „ сполучливо тествано “ от компании като Гугъл, Apple и Samsung. „ За да защитим персоналните данни, ние предприехме ограничения като криптиране на персонални данни “, споделиха от комисията пред организация Синхуа в понеделник.
В момента спортисти от цялостен свят се приготвят за пътуването за Зимните олимпийски игри в Пекин. Тази година това значи съблюдаване на настоящите здравни разпореждания. Спортистите би трябвало да конфигурират формалното приложение, наречено „ MY2022 “ на своя смарт телефон. Това приложение обаче не криптира задоволително данните, съгласно отчета " Citizen Lab ", който Дойче веле имаше изключителното право да прегледа. Това слага спортисти, публицисти и длъжностни лица в сериозна заплаха от хакери. Техните данни не са предпазени от кражба и наблюдаване. Освен това ИТ криминалистите откриха лист с цензурирани термини в приложението.
Сигурността на данните на Зимните олимпийски игри в Пекин по този начин или другояче е подложена на критика: Германия, Австралия, Англия и Съединените щати приканват своите национални олимпийски комитети и спортистите си да оставят персоналните си телефони и преносими компютри вкъщи. Вместо това те би трябвало да носят със себе си специфични устройства единствено за Олимпийските игри - има толкоз огромен боязън от цифровия шпионаж. Поради тази причина Олимпийският комитет на Холандия даже категорично забрани на своите спортисти да носят персонални мобилни телефони и преносими компютри в Китай.
Зимните олимпийски игри стартират на 4 февруари и ще бъдат вторите, които се организират по време на пандемията от ковид. Ето за какво не е изненадващо, че има приложение за смарт телефони – употребявано е и предходната година на Летните олимпийски игри, с цел да може да се следи възможна зараза.
Съгласно формалните правила на Международния олимпийски комитет (МОК), задължението за инсталирането му се отнася за всички, които ще бъдат в специфичен " олимпийски балон " - за спортисти, треньори, публицисти, спортни чиновници, както и хиляди локални чиновници, които би трябвало да дават здравните си данни в приложението " MY2022 " или на уеб страницата.
Приложението, създадено в Китай, в действителност би трябвало да служи за наблюдаване на здравето на участниците в Олимпийските игри и за наблюдаване на контактите при положение на позитивни проби за ковид.
В заявката би трябвало да бъдат въведени освен паспортни данни и персонални данни за статуса на пътуването, само че и доста медицински данни. Например: страдали ли сте неотдавна от признаци, присъщи за covid 19, като температура, отмалялост, главоболие, суха кашлица или възпалено гърло. Всеки, който идва от чужбина, би трябвало да стартира да вкарва здравни данни в заявката 14 дни преди да влезе в страната.
Проследяването на контакти, основано на приложения, се смята за съвременен метод за битка с пандемията на в доста страни. Китайското приложение „ My2022 “ обаче разрешава повече от просто следене на контакти: то също по този начин контролира разрешението за достъп до олимпийски събития, предлага на посетителите обширна информация за програмата и организацията на спортни събития, предлага туристически услуги на посетителите и даже има функционалност за чат (текстова и аудио форма), вести и прекачване на файлове за потребителите.
Или, както е посочено в магазина на Apple: приложението предлага опция за персонализиране на настройките за разнообразни видове консуматори, „ с цел да се насладят на всички аспекти на Олимпийските игри в едно приложение “.
Уязвимости в сигурността в приложението бяха открити от учени от " Citizen Lab ", които изследват цифровата сигурност, обвързвана с проблемите на правата на индивида, и са свързани с учебното заведение по световни въпроси към Университета в Торонто. Citizens Lab към този момент взе участие в откриването на шпионски програмен продукт на Pegasus.
Конкретната рецензия към тази лаборатория се отнася до т.нар „ SSL-сертификати”, които подсигуряват, че при прекачване на данни връзката се реализира единствено сред надеждни устройства и сървъри – китайското приложение, съгласно „ Citizen Lab”, не ревизира валидността им, което е сериозна дупка в сигурността. В резултат на това приложението може да бъде подведено да комуникира със „ злотворен компютър “, тъй че данните да бъдат прихванати или даже нездравословните данни да бъдат изпратени назад към приложението.
Джефри Кокъл от Citizen Lab откри този пропуск в сигурността освен във връзка с здравните данни, само че и в други значими услуги в приложението. Това се отнася и за услугата за приложения, която обработва всички атачмънти и гласови известия.
Освен това ИТ специалистът открива, че за някои услуги прехвърлянето на данни в приложението въобще не е криптиран, тъй че нападателят може доста елементарно да прочете метаданните от услугата за чат на приложението.
„ Нашите следствия демонстрираха, че ограниченията за сигурност на приложението „ My20220 “ са изцяло неефективни и не защищават от приключване на чувствителни данни към трети страни, неупълномощени страни “, споделя Нокел.
ИТ откриватели откриха и дребен текстов файл, наименуван " illegalwords.txt ". Той изброява 2442 термина и израза, най-вече от писмен китайски, някои изрази на уйгурски, писмен китайски, употребен в Тайван и Хонконг, и британски.
Сред многото термини, в допълнение към псувните, има политически термини, които са табу в комунистически Китай и които са обществено цензурирани от страната: рецензия към Китайската комунистическа партия, нейните водачи и тематики, свързани с Фалун Гонг. Протести има и в Тянанмън, Далай Лама и уйгурското мюсюлманско малцинство в Синджан. В уйгурски, да вземем за пример, терминът " Свещения Коран " е в листата на неразрешените термини, съгласно Sitzen Lab.
И двамата специалисти по ИТ сигурността не съумяха да намерят индикация в настоящата версия на приложението, че този лист с цензурирани термини се употребява интензивно. Освен това, както се споделя, не е изцяло ясно за какво този файл въобще съществува. Джефри Нокел от Citizen Lab сподели: „ Въпреки че файлът „ illegalwords.txt “ сега не се употребява, приложението „ My2022 “ към този момент съдържа функционалности, които могат да четат файла и да го употребяват за цензура, тъй че активирането на цензурирани термини ще изисква единствено малко изпитание. "
Но това, което приложението към този момент съдържа, е функционалност за влизане, при която потребителите на приложението могат да влизат в други консуматори, в случай че считат, че известието в чата е рисково или подозрително. Възможните аргументи за докладване включват опцията „ политически сензитивно наличие “, която нормално се употребява в Китай за политически цензурирани тематики.
Няма реакция от Китайския олимпийски комитет по отношение на уязвимостите в сигурността. В началото на декември 2021 година „ Citizen Lab “ поверително осведоми Китайския учредителен комитет на Олимпийските игри за своите констатации. Както нормално, когато оповестяват за уязвимости в сигурността, те помолиха китайските уредници на Олимпийските игри да поправят рисковите пропуски в границите на 45 дни, преди да бъде оповестен отчетът. „ Организационният комитет не е дал отговор на нашите констатации до момента “, сподели Нокел пред DW.
Междувременно приложението се оферираше и в Ep-магазините на Apple и Гугъл, само че инспекция, направена от специалисти по сигурността „ Citizen Lab “ на 17 януари 2022 година, не откри промени, свързани с цензурирани условия и упоменатите пропуски в сигурността.
В наръчника за спортисти и публични лица Международният олимпийски комитет показва, че приложението „ My2022 “ е „ в сходство с интернационалните стандарти и китайското законодателство “.
Въпреки това, въз основа на своите констатации, Citizen Lab заключава, че незащитеното прекачване на персонални данни „ може да бъде директно нарушаване на китайските закони за дискретност “. В Китай, съгласно разпоредбите за отбрана на данните, информацията, която визира здравето на човек, постоянно би трябвало да се съхранява и предава в криптирана форма.
Резултатите от отчета " Citizen Lab " също повдигат голям брой въпроси пред западните софтуерни колоси, които оферират " My2022 " - Apple и Гугъл. „ Според насоките както на Apple, по този начин и на Гугъл, е неразрешено приложенията да предават чувствителни данни без вярно криптиране. „ И двете компании в този момент би трябвало да решат дали нерешените проблеми със сигурността ще доведат до заличаване (MY2022 приложения) от техните магазини “, сподели Нокел пред DW.
Организационният комитет на Игрите в Пекин през 2022 година обаче отбрани приложението, като акцентира, че то е „ сполучливо тествано “ от компании като Гугъл, Apple и Samsung. „ За да защитим персоналните данни, ние предприехме ограничения като криптиране на персонални данни “, споделиха от комисията пред организация Синхуа в понеделник.
Източник: cross.bg
КОМЕНТАРИ