Все, кто намерен присутствовать на Зимней Олимпиаде в Пекине в следующем месяце (в том числе спортсмены, спортивные обозреватели, спортивное руководство и т.д.), обязаны предоставлять сведения о своем здоровье китайским властям через мобильное приложение My 2022. Однако, согласно отчету Citizen Lab, у приложения есть ряд проблем с безопасностью, что делает его уязвимым к хакерским атакам, утечкам данных и слежке, информирует SecurityLab.
Согласно отчету, помимо проблем с шифрованием My 2022 содержит список ключевых слов, подлежащих цензуре.
Напомним , незадолго до публикации отчета Citizen Lab Великобритания, Германия, Австралия и США призвали своих спортсменов не брать на Олимпиаду личные мобильные устройства и готовы выдать им одноразовые телефоны. Олимпийский комитет Нидерландов пошел еще дальше и строго запретил своим спортсменам брать в Пекин личную технику из-за возможного шпионажа со стороны китайских властей.
Согласно инструкциям Международного олимпийского комитета, спортсмены, тренеры, журналисты, руководство и весь персонал, насчитывающий тысячи человек, обязаны предоставлять данные о своем здоровье через мобильное приложение или web-сайт My 2022. Разработанное в Китае приложение предназначено для мониторинга состояния здоровья участников и персонала и отслеживания возможных заражений COVID-19.
В приложение также нужно вводить паспортные данные, информацию о прилете/вылете, сведения о возможных симптомах коронавируса (высокая температура, утомляемость, головная боль, кашель, боль в горле и диарея). Лица, прибывающие в Пекин из-за рубежа, должны начать вводить соответствующую информацию за 14 дней до прибытия в Китай.
Приложения для отслеживания цепочки заражения COVID-19 есть во многих странах, но My 2022 совмещает этот функционал с другими сервисами: управляет доступом к мероприятиям, играет роль гида и предоставляет информацию о спортивных объектах и туристических сервисах, выполняет функции мессенджера (текстового и аудио), предоставляет ленту новостей и позволяет обмениваться файлами.
Как сообщается в отчете Citizen Lab, подлинность SSL-сертификатов приложения, свидетельствующих о том, что данные передаются исключительно между доверенным устройством и сервером, не подтверждена. Другими словами, у My 2022 серьезные проблемы с шифрованием. Злоумышленники могут заставить приложение подключиться к вредоносному хосту, что позволит перехватывать передаваемые данные или отправлять в ответ вредоносные данные.
Что еще хуже, для некоторых сервисов в приложении трафик не шифруется вовсе. То есть, посторонние могут с легкостью читать метаданные чата.
Исследователи также обнаружили в приложении текстовый файл illegalwords.txt, содержащий 2 442 ключевых слова и фраз, в основном написанных на упрощенном китайском языке (основной язык, использующийся в КНР). Правда, небольшая часть слов написана на уйгурском, тибетском, традиционном китайском (используется в Гонконге и на Тайване) и английском.
Среди многих ключевых слов есть ненормативная лексика, а также выражения, относящиеся к политически табуированным темам в коммунистическом Китае, которые подвергаются цензуре со стороны государства, включая критику Коммунистической партии КНР и ее лидеров. Одним из примеров в списке, рассмотренном Citizen Lab, является термин «Священный Коран» на уйгурском языке.
В текущей версии приложения нет свидетельств того, что этот активно используется для цензуры. Почему он вообще присутствует в приложении, пока непонятно.
«Даже если illegalwords.txt в настоящее время не используется, My2022 уже содержит функции кода, способные читать этот файл и применять его для цензуры, поэтому активировать цензурирование будет проще простого», - сообщил специалист Citizen Lab Джеффри Нокел (Jeffrey Knockel).
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
