Povinná olympijská aplikace má bezpečnostní chyby. Neověřuje certifikáty, nešifruje a je připravena pro cenzuru

Povinná olympijská aplikace má bezpečnostní chyby. Neověřuje certifikáty, nešifruje a je připravena pro cenzuru

Všichni sportovci a další účastníci letošních zimních olympijských her v Pekingu včetně novinářů i diváků na sportovištích si do svých telefonů budou muset povinně nainstalovat oficiální aplikaci My 2022.

Skupina pro kybernetickou bezpečnost Citizen Lab z Torontské univerzity v Kanadě v ní však našla závažné bezpečnostní nedostatky, které je potenciálně snadné zneužít.

Klepněte pro větší obrázek
Na první pohled jde o informační aplikaci s praktickými informacemi

Nebezpečné hry

My 2022 má sloužit jako ochrana proti šíření covidu. Účastníci do ní mají před příjezdem a během her zaznamenávat svůj zdravotní stav. Ti ze zahraničí navíc do telefonu musí nahrát informace o očkování proti covidu, výsledky každodenního povinného samotestování, výsledky PCR testů a také údaje z cestovního pasu.

Aplikace jinak nabídne také olympijské novinky a různé praktické informace, textový i hlasový chat, přenos souborů a průvodce s navigací. Jenže o mnoho více můžeme hledat pod povrchem...

Z aplikace získávají užitečná identifikační data čínské značky telefonů (Huawei, Xiaomi, Oppo, Vivo a Meizu), modul od Tencentu a Weiba dokonce k základním síťovým a telefonním identifikačním prvkům přidává seznam nainstalovaných aplikací. Firma AutoNavi Software Co. navíc zná vaši přesnou polohu v reálním čase, iFlytek má navíc přístup do paměti telefonu a eviduje situace, kdy uživatel na telefonu použije překladatelské služby.

Podle zprávy Citizen Lab aplikace navíc obsahuje fatální chybu, kdy při komunikaci s některými servery neověřuje certifikáty SSL. Takže nemůže mít jistotu, zda šifrovaná data posílá skutečně na správný server. Lze pak také podvrhnout odpovědi serveru, což útočníkovi umožní zobrazit falešné pokyny uživatelům.

K tomu jsou v některých případech data odesílána zcela bez šifrování. Zde pak stačí pro zneužití jednoduchý pasivní odposlech, například v kombinaci s nezabezpečenou sítí Wi-Fi. Nešifrují se například právě informace o cestovních dokladech a zdravotní anamnéze. Není ani jasné, s kým – s jakými organizacemi – aplikace poskytnutá data sdílí.

Klepněte pro větší obrázek
Aplikaci si můžete stáhnout a nainstalovat. K většině funkcí se ale nedostanete bez registrace a k ní je potřeba akreditace na ZOH

Aplikace My 2022 obsahuje funkce pro nahlašování politicky citlivého obsahu. Je v ní také seznam klíčových slov pro cenzuru, který byl ale v době testování neaktivní. Zaměřuje se na různá politická témata, jako je Tibet nebo Ujgurové, dále pak na pornografii, hanlivá slova, na různé politicky motivované slogany. V aplikaci se nesmí objevit ani celé znění čínských úřadů či dřívější čínští vůdci. Kompletní seznam zakázaných slov v čínštině najdete zde

 

Objevili jsme soubor illegalwords.txt, který obsahuje seznam 2 442 klíčových slov považovaných v Číně za politicky citlivá.

 

Citizen Lab se domnívá, že uvedené bezpečnostní nedostatky porušují zásady Googlu a Applu pro publikaci aplikací v Google Play a App Storu. Mohou být také v rozporu s čínskými zákony a národními normami o ochraně soukromí. Přesto si ji všichni účastníci her musí povinně stáhnout, navíc není ani vyloučeno, že se další „sledovací praktiky“ dostanou do aplikace s budoucí aktualizací. Ve verzi aplikace 2.0.5 například přibyla funkce „Green Health Code“, která vyžaduje cestovní dokumenty a historii zdravotních záznamů, ovšem tyto údaje opět přenáší nešifrovaně...

Čína podle BBC obavy z nedostatečné bezpečnosti své oficiální aplikace odmítla. Některé olympijské týmy přesto svým členům doporučují, aby během pobytu používali raději jednorázové „hloupé“ telefony a raději počítali s tím, že jsou sledovaní.

Firma Citizenlab na zjištěné bezpečnostní chyby v aplikaci My 2022 upozornila 3. prosince Pekingskou Organizační komisi pro Olympijské a Paralympijské hry roku 2022, s tím, že reakce měla dorazit do 15 dní a případná oprava měla být zhotovena do 45 dní. Tedy předtím, než Citizenlab se svými zjištěními seznámí veřejnost. K 18. lednu od této komise nedorazila jediná odpověď.

Výše zmíněná „komise“ je uskupení vlastněné státní společností Beijing Financial Holdings Group. Zdá se tedy, že špehování je na letošní olympiádě posvěceno i kruhy nejvyššími, a že s tím vlastně nikdo nic dělat nebude...

Diskuze (43) Další článek: Utopili jste telefon? Ještě není vše ztraceno. Poradíme, jak ho zachránit

Témata článku: Mobilní aplikace, Google Play, Čína, Wi-Fi, Kanada, Bezpečnost, Cenzura, Šifrování, Certifikát, App Store, BBC, Covid, Beijing, SSL, Bezpečnostní chyba, Tibet, Sportoviště, Olympic, ZOH, Telefon, Aplikace



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Vybrali jsme nejlepší telefony, které si v květnu 2022 můžete koupit

Vybrali jsme nejlepší telefony, které si v květnu 2022 můžete koupit

** Každý měsíc vybíráme nejlepší mobily v několika kategoriích. ** Smartphony dělíme podle výbavy a ceny, aby si mohl vybrat každý. ** Nezapomínáme ani na tablety a tlačítkové telefony.

Jan Láska
TelefonySmartphonyNákup a ceny
Malé telefony s Androidem ještě nevymřely. Už brzy se dočkáme nového čtyřpalcového telefonu do kapsy

Malé telefony s Androidem ještě nevymřely. Už brzy se dočkáme nového čtyřpalcového telefonu do kapsy

** Hledáte kompaktní telefon okolo čtyř palců? ** Dotykáč už možná nenajdete, budou zde jen tlačítkové telefony ** Zavedené pořádky chce brzy změnit Cubot Pocket

Martin Chroust
Kompaktní velikostAndroid
Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

Světu hrozí „vlhká žárovka.“ Měla dorazit až v polovině století, ale už je tu

** Nejteplejší místo na Zemi nemusí být to nejnebezpečnější ** Největším zabijákem se stane až mix tepla a vlhkosti ** Asie se nebezpečně přiblížila hraniční hodnotě 35 °C twb

Jakub Čížek
MeteorologieGlobální oteplování
Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

Jak rozmazat dům, aby vás sousedi nemohli šmírovat. Jde to v Mapách Google i na Mapy.cz

** Nelibí se vám, když cizí lidé okukují váš dům? ** Všechny mapové aplikace nabízejí možnost rozmazání snímku ** Máme návod pro Apple Maps, Bing Maps, Mapy Google a Mapy.cz

Karel Kilián
SoukromíNávodyMapy
Velký srovnávací test kamer do auta. Koupíte už za pár stovek, ale vyplatí se připlatit

Velký srovnávací test kamer do auta. Koupíte už za pár stovek, ale vyplatí se připlatit

Za čelními skly mnoha vozidel lze v posledních letech čím dál častěji kromě očí samotného řidiče spatřit i jedno oko navíc. Patří autokameře, která slouží jako svědek při případných nehodách. Otestovali jsme osm z nich v oblíbené cenové relaci mezi dvěma a čtyřmi tisíci korun.

Jan Spěšný
SrovnáníKamera
Android Auto se brzy změní. Displej rozdělený na dvě části už nebude volitelný, ale novou normou

Android Auto se brzy změní. Displej rozdělený na dvě části už nebude volitelný, ale novou normou

** Aplikaci Android Auto čeká redesign ** Povinně přejde na režim Split Screen ** Google chce, ať mají řidiči důležité informace pěkně rychle po ruce

Martin Chroust
Split screenAndroid AutoMobilní aplikace
Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

Přehled zařízení, která dostanou Android 12. Aktualizace se týká topmodelů i levnějších telefonů

** Pixely už jej mají, postupně se přidávají další mobilní výrobci ** Android 12 přináší spoustu softwarových novinek a vylepšení ** V našem seznamu se dozvíte, kdy aktualizace dorazí i na váš telefon

Martin ChroustJan Láska
Android 12Aktualizace softwaruSmartphony