Обязательное приложение My 2022 ставит под угрозу тысячи участников Олимпиады в Пекине
Все, кто намерен присутствовать на Зимней Олимпиаде в Пекине в следующем месяце (в том числе спортсмены, спортивные обозреватели, спортивное руководство и т.д.), обязаны предоставлять сведения о своем здоровье китайским властям через мобильное приложение My 2022. Однако, согласно отчету Citizen Lab, у приложения есть ряд проблем с безопасностью, что делает его уязвимым к хакерским атакам, утечкам данных и слежке, информирует SecurityLab.
Согласно отчету, помимо проблем с шифрованием My 2022 содержит список ключевых слов, подлежащих цензуре.
Напомним , незадолго до публикации отчета Citizen Lab Великобритания, Германия, Австралия и США призвали своих спортсменов не брать на Олимпиаду личные мобильные устройства и готовы выдать им одноразовые телефоны. Олимпийский комитет Нидерландов пошел еще дальше и строго запретил своим спортсменам брать в Пекин личную технику из-за возможного шпионажа со стороны китайских властей.
Согласно инструкциям Международного олимпийского комитета, спортсмены, тренеры, журналисты, руководство и весь персонал, насчитывающий тысячи человек, обязаны предоставлять данные о своем здоровье через мобильное приложение или web-сайт My 2022. Разработанное в Китае приложение предназначено для мониторинга состояния здоровья участников и персонала и отслеживания возможных заражений COVID-19.
В приложение также нужно вводить паспортные данные, информацию о прилете/вылете, сведения о возможных симптомах коронавируса (высокая температура, утомляемость, головная боль, кашель, боль в горле и диарея). Лица, прибывающие в Пекин из-за рубежа, должны начать вводить соответствующую информацию за 14 дней до прибытия в Китай.
Приложения для отслеживания цепочки заражения COVID-19 есть во многих странах, но My 2022 совмещает этот функционал с другими сервисами: управляет доступом к мероприятиям, играет роль гида и предоставляет информацию о спортивных объектах и туристических сервисах, выполняет функции мессенджера (текстового и аудио), предоставляет ленту новостей и позволяет обмениваться файлами.
Как сообщается в отчете Citizen Lab, подлинность SSL-сертификатов приложения, свидетельствующих о том, что данные передаются исключительно между доверенным устройством и сервером, не подтверждена. Другими словами, у My 2022 серьезные проблемы с шифрованием. Злоумышленники могут заставить приложение подключиться к вредоносному хосту, что позволит перехватывать передаваемые данные или отправлять в ответ вредоносные данные.
Что еще хуже, для некоторых сервисов в приложении трафик не шифруется вовсе. То есть, посторонние могут с легкостью читать метаданные чата.
Исследователи также обнаружили в приложении текстовый файл illegalwords.txt, содержащий 2 442 ключевых слова и фраз, в основном написанных на упрощенном китайском языке (основной язык, использующийся в КНР). Правда, небольшая часть слов написана на уйгурском, тибетском, традиционном китайском (используется в Гонконге и на Тайване) и английском.
Среди многих ключевых слов есть ненормативная лексика, а также выражения, относящиеся к политически табуированным темам в коммунистическом Китае, которые подвергаются цензуре со стороны государства, включая критику Коммунистической партии КНР и ее лидеров. Одним из примеров в списке, рассмотренном Citizen Lab, является термин «Священный Коран» на уйгурском языке.
В текущей версии приложения нет свидетельств того, что этот активно используется для цензуры. Почему он вообще присутствует в приложении, пока непонятно.
«Даже если illegalwords.txt в настоящее время не используется, My2022 уже содержит функции кода, способные читать этот файл и применять его для цензуры, поэтому активировать цензурирование будет проще простого», - сообщил специалист Citizen Lab Джеффри Нокел (Jeffrey Knockel).
Теги:
похожие материалы
Новый вредонос для macOS совмещает кражу данных и атаки на криптокошельки
Специалисты по кибербезопасности выявили новую вредоносную кампанию, нацеленную на пользователей macOS, в рамках которой злоумышленники одновременно похищают пользовательские данные и атакуют приложения для работы с аппаратными криптокошельками.
40% российских компании автоматизируют бизнес-процессы с помощью ИИ
По данным исследования СберАналитики и Сбер Бизнес Софт в области автоматизации бизнес-процессов в российских компаниях итогам 2025 года, чаще всего в компаниях автоматизируют документооборот и обработку заявок (70%), бухгалтерию и финансовый учёт (55%), HR-процессы (34%), стратегическое планирование (34%) и поддержку клиентов (30%).
Каждую шестую уязвимость в приложениях знакомств назвали критической
Аналитики по кибербезопасности выявили серьёзную проблему с безопасностью популярных приложений для знакомств - примерно 17 % обнаруженных уязвимостей признаны критическими, что может привести к утечкам личных данных и компрометации аккаунтов пользователей.
Ограничения VPN в России выросли на фоне растущего спроса на обход блокировок
В России количество VPN-сервисов, заблокированных регуляторами, продолжает расти: к середине января 2026 года доступ к 439 сервисам обхода блокировок оказался ограничен, что на 70% больше, чем три месяца назад.
«Код Безопасности» и Компания «Актив» провели успешные тесты на совместимость ПАК «Соболь» c устройствами Рутокен
Компания «Актив», российский производитель и разработчик программно-аппаратных средств защиты информации, и российский разработчик средств защиты информации «Код Безопасности» подтвердили совместимость своих решений: USB-токенов и смарт-карт Рутокен ЭЦП 3.
Около 50 000 сайтов WordPress оказались под угрозой полного захвата из-за критической уязвимости плагина
Около 50 000 сайтов на базе WordPress остаются уязвимыми к полному захвату из-за критической ошибки в популярном плагине Advanced Custom Fields: Extended (ACF Extended).
На конкурсе Pwn2Own Automotive нашли десятки уязвимостей в системах Tesla
В Токио на первом дне конкурса по автомобильной безопасности Pwn2Own Automotive 2026 команда исследователей успешно продемонстрировала эксплуатацию 37 ранее неизвестных уязвимостей в различных автомобильных компонентах, включая систему развлекательной электроники Tesla.
Apple превратит Siri в полноценного ИИ чат-бота в новых версиях iOS и macOS
Apple готовит масштабное обновление голосового помощника Siri, которое должно превратить его в полноценного ИИ чат-бота, встроенного в экосистему iPhone, iPad и Mac.
В России беспилотные грузовики получат систему защиты от хакеров
В России внедряют дополнительную защиту для автономных грузовиков, участвующих в дорожных испытаниях.
Аналитики зафиксировали рост атак через подрядчиков в инфраструктурах российских компаний
Почти треть успешных взломов российских компаний в 2025 году произошла через подрядчиков, следует из аналитики центра мониторинга и реагирования на кибератаки RED Security SOC.