Большой брат
ИБ-исследователь Джонатан Скотт обнаружил, что обязательное приложение для участников Олимпиады в Пекине для iOS и Android шпионит за участниками Игр. Он опубликовал свои выводы в Twitter после исследования приложения My 2022. Как оказалось, оно следит за пользователями, записывая аудио и отсылая его для расшифровки на китайские серверы.
My 2022 — это приложение, при помощи которого спортсмены, тренеры, журналисты, руководство и весь персонал Зимних Олимпийских игр 2022 года в Пекине обязаны предоставлять сведения о своем здоровье китайским властям. Оно предназначено для отслеживания распространения COVID-19, а также служит информационным центром для получения сведений о событиях, погоде и достопримечательностях. Пользователи также будут обязаны внести в приложения свои паспортные данные, информацию о прилете и вылете из Китая.
В описании в App Store утверждается, что
приложение собирает только «обезличенные» данные, как и любое современное приложение — контактную информацию, местоположение и прочее. Информации, указывающей на то, что My 2022 ведет прослушку и направляет запись на китайские серверы, — нет.
Скотт в свою очередь доказал, что приложение действительно носит шпионский характер. Для этого My 2022 не использует какие-либо эксплойты или бреши в системе безопасности смартфонов — оно просто ведет активную прослушку. Единственный способ остановить прослушку — удалить приложение, так как его закрытие не помогает. Приложение само себе дает разрешение на работу и запись всего происходящего в фоновом режиме.
Также стало известно, что My 2022 использует технологию искусственного интеллекта китайского стартапа iFlytek, который ранее был внесен в черный список США из-за якобы связи с «геноцидом уйгуров» в Китае.
В середине января газета The New York Times со ссылкой на исследование Citizen Lab предупреждала, что в My 2022 обнаружены серьезные недостатки в шифровании данных. Это, по словам издания, ставит под угрозу тысячи участников и «вызывает вопросы» в безопасности систем отслеживания вспышек COVID-19.
В отчете отмечается, что My 2022 никак не шифрует данные, направляемые на сервер, что позволяет хакерам с легкостью их перехватить. Кроме того, встроенная служба обмена сообщениями не шифрует метаданные, благодаря чему злоумышленники или администраторы общественных Wi-Fi-точек могут определить, кто и когда отправлял сообщения.
«Вся информация, которую вы передаете, может быть перехвачена, особенно если вы находитесь в ненадежной сети, такой как Wi-Fi в кафе или отеле»,
— отметил Джеффри Нокель, научный сотрудник Citizen Lab и один из авторов исследования. Он считает, что конфиденциальная информация, полученная таким образом, может быть использована для кражи личных данных.
Руководитель отдела по защите персональных данных Б-152, сертифицированный профессионал в области информационной приватности (CIPP/Е) Максим Зиновьев в беседе с «Газетой.Ru» рассказал, что приложение My 2022 явно нарушает права его пользователей.
«Приложение My 2022 является демонстрацией нарушения фундаментальных прав гостей Олимпийских игр 2022 в Пекине, атлетов и прочих пользователей. С ноября 2021 г. в Китае действует новый закон Personal Information Protection Law of the People's Republic (признано в РФ иностранным агентом) of China (PIPL), который призван защищать права субъектов персональных данных в Китае. PIPL — один из законов, принятых вслед за GDPR, и во многом заимствует принципы Регламента ЕС. Очевидно, что разработчик приложения My 2022 нарушает основные нормы PIPL о прозрачности обработки данных, и оценке рисков при внедрении таких технологий, как запись голоса», — считает Зиновьев.
Ранее Великобритания, Германия, Австралия, США и многие другие страны рекомендовали своим спортсменам не брать на Олимпиаду личные гаджеты из-за возможности шпионажа со стороны Китая. Вместо этого им предложили выдать одноразовые телефоны.
