Как крадут данные олимпийских спортсменов. Вас это тоже касается

Наверняка вы знаете, что на прошлой неделе стартовали зимние Олимпийские игры в Пекине. Они проводятся в условиях карантина и максимальной изоляции спортсменов и членов делегаций от их коллег из других стран. Во многом именно это привело к тому, что конфиденциальные данные гостей игр оказались под угрозой. Может показаться, что это далеко от нас и вообще нас не касается, но это не так. На самом деле, это скорее звоночек на примере события, где все должно быть подготовлено идеально. Поэтому давайте посмотрим, что случилось, а в конце оценим, как это может повлиять на нас. Так что дочитайте до конца.

Олимпийские игры

Даже к такому грандиозному событию не смогли подготовить защищенное приложение.

Содержание

Данные олимпийцев в опасности

Опасения по поводу конфиденциальности данных о тысячах иностранцев, прибывших в Пекин на зимние Олимпийские игры 2022 года, появились после одного интересного открытия. Канадская исследовательская группа Citizen Lab обнаружила уязвимости в приложении, которое обрабатывает конфиденциальную медицинскую информацию. Китайское правительство требует, чтобы оно было установлено у всех, кто участвует в играх.

Приложение My2022 было разработано оргкомитетом Олимпийских игр как «универсальное средство контроля вопросов противоковидной безопасности». Персонал Олимпийских игр, волонтеры, спортсмены со всего мира, их команды, пресса и другой персонал скачивают это приложение и загружают в него свои данные.

Какие данные дают олимпийские спортсмены

Те, кто едут в закрытые зоны своего проживания на время игр, должны были загрузить приложение за 14 дней до прибытия и предоставить личную информацию вместе с тестами на COVID-19, которые они сделали, статусом вакцинации и самооценкой своего здоровья.

Приложение

Идея с приложением хорошая, Но реализована с ошибками.

Citizen Lab обнаружила, что приложению не удается проверить сертификаты шифрования SSL, которые оно получает от некоторых своих хостов, что потенциально позволяет злоумышленникам подделывать имена хостов и перенаправлять данные в свои руки. В приведенном примере «health.customsapp.com» клиент может передать паспорт и данные о состоянии здоровья на сервер. Кроме того, некоторые соединения даже не имеют шифрования по SSL или любому другому стандарту. Одним из таких путей является «tmail.beijing2022.cn», который предположительно имеет дело с идентификацией участников и обменом файлами.

Опасная версия приложения My2022

Эти результаты были проверены с версиями 2.0.0 и 2.0.5 приложения My2022 для iOS до середины января и предполагается, что такие же проблемы с безопасностью есть и на стороне Android. Сообщенные недостатки не только показывают, что My2022 противоречит условиям конфиденциальности Apple и Google, но и нарушает ряд законов Китая о кибербезопасности от 2016 года.

Интересно, что в приложении есть функция отчетности, которая позволяет пользователям сообщать о нарушениях другими людьми вопросов цензуры, которая довольно сильно развита в Китае. Citizen Lab утверждает, что это обычная функция для приложений в Китае, но она может открыть потенциал для злоупотреблений.

Хакер

Чьей-то невидимой руке достаточно только потянуться и взять данные пользователей.

Многие даже сразу сказали, что отсутствие шифрования и вопросы контроля данных, отправленных в приложении, связаны. Но говорить об этом с уверенностью не стоит, ведь данные и так передаются всем заинтересованным лицам и нет смысла намеренно их уводить на сторону. Куда логичнее предположить, что это именно упущение создателей приложения.

Опасно ли устанавливать неизвестные приложения

А теперь представьте, сколько таких приложений под конкретное мероприятие создается в мире. Каждое из них из-за спешки, экономии или недостаточной компетенции разработчиков может быть потенциально опасными для наших персональных данных. Допустим, вы бы собрались поехать на Олимпийские игры в Пекин. Вам бы тоже пришлось скачать это приложение, и ваши личные данные были бы под угрозой.

Любое приложение, которое создается в подобных условиях, может нести свои риски, и появление такой дыры в безопасности лишний раз доказывает, что никто не защищен на 100%, даже когда за дело берутся организаторы серьезного мероприятия. Что уже говорить о каких-то более мелких приложениях.

©  Androidinsider.ru