北京2022年冬季オリンピックの公式アプリ「My 2022」は、ユーザーのセンシティブなデータを保護するという点で、安全性に問題があることが判明しました
2022年に開催される北京オリンピックの全参加者に使用が義務付けられているアプリ「MY2022」には、ユーザーの音声やファイル転送を保護する暗号化が簡単に回避できるという致命的な欠陥があります。
また、パスポート情報、人口統計学的情報、病歴や旅行歴を送信する健康診断書も脆弱です。また、サーバーの応答を偽装することができるため、攻撃者はユーザーに偽の情報を表示させることができます。
最も重要なことは、このアプリの暗号化システムには重大な欠陥があり、攻撃者が文書、音声、ファイルに平文でアクセスできることです。
またキーワードのリストに基づいて検閲の対象となっており、ユーザーがアップロードしなければならないすべての機密データを正確に誰が受け取り、処理するのかを決定していない、不明確なプライバシーポリシーを持っています。
このように、GoogleのソフトウェアポリシーとAppleのApp Storeガイドラインに違反しているにもかかわらず、両方のストアで利用可能となっています。さらに、このアプリは、中国のプライバシー保護に関する法律にも違反しています。
参加者全員がインストールして使用することになっている「My 2022」アプリ
Citizen Labによるレポートでは、「My 2022」アプリに潜在的なプライバシーとセキュリティの問題がないか分析し、アプリが以下のような機密情報を収集していることを発見しました。
- デバイスの識別情報とモデル
- 携帯電話会社の情報
- デバイスにインストールされているアプリ
- 無線LANの状態
- リアルタイムの位置情報
- オーディオ情報
- デバイスストレージへのアクセス
- 位置情報へのアクセス
このデータ収集は、プライバシーポリシーで開示されており、COVID-19の保護制御、翻訳サービス、Weiboの統合、および観光の推奨とナビゲーションに必要です。
しかし、「My 2022」の利用は任意ではありません。
選手、報道関係者、観客のすべてがアプリをインストールし、個人情報を追加しなければならないアプリになっています。
国内のユーザーの場合、「My 2022」は氏名、国民識別番号、電話番号、電子メールアドレス、プロフィール写真、雇用情報を収集し、2022年オリンピックの北京組織委員会と共有します。
外国人の場合、「My 2022」は、完全なパスポート情報、日々の健康状態、COVID-19の接種状況、人口統計データ、どの組織で働いているかなどを収集します。
不安定な通信暗号
さらに問題なのは、アプリのSSLベースの暗号化に欠陥があり、認証検証の問題から不正な接続を許してしまうことです。
シチズン・ラボの調査結果によると、攻撃者は少なくとも5つのサーバーになりすまし、アプリから送信されたデータを傍受し、悪意のあるホストを信頼されているとみなすようにアプリが騙される可能性があります。
そのため、すべての機密データが中国政府の管理下にない第三者によって収集される可能性があります。
また、サーバーの偽装問題に加えて、送信データが常に暗号化されているわけではないため、機密性の高いメタデータを含む一部の送信データは、単純なネットワークパケットの盗聴によって平文で傍受され、読み取られてしまう可能性があることも指摘しています。
情報開示と対応
シチズンラボが発見した深刻なプライバシーおよびセキュリティリスクは、2021年12月3日に2022年冬季オリンピック・パラリンピック北京大会組織委員会に報告されました。
現時点(2022年1月18日)の時点では、誰も対応していないため、研究者は公に欠陥を公開しました。
アプリ開発者は「My 2022」のバージョン2.0.5をリリースしましたが、さらに分析を行ったところ、報告された問題がまだ解決されていないことが判明しました。
中国が意図的にアプリに欠陥を持たせたかどうかについて、データの受信者が中国国家であり、他の人のために追加のバックドアを作る動機がないことを考えると、その可能性は極めて低いと考えています。
Comments