2022年北京冬季オリンピックの公式アプリ「My 2022」が、ユーザーの機密データ保護に関して安全でないことが判明しました。
最も重要なのは、このアプリの暗号化システムに重大な欠陥があり、中間搾取者が平文で文書、音声、ファイルにアクセスできるようになっていることです。
「My 2022」はまた、キーワードのリストに基づく検閲の対象であり、ユーザーがアップロードしなければならないすべての機密データを誰が正確に受け取り、処理するのかを決定していない不明瞭なプライバシーポリシーを持っています。
そのため、GoogleのソフトウェアポリシーとAppleのApp Storeのガイドラインに違反しているにもかかわらず、両方のストアで入手可能です。最後に、このアプリは、プライバシー保護に関する中国自身の法律に違反しています。
すべてを要求する
Citizen Labによる詳細なレポートでは、研究者が「My 2022」アプリの潜在的なプライバシーとセキュリティの問題を分析し、アプリが以下の機密情報を収集していることが判明しています。
- デバイスの識別子とモデル
- 携帯電話サービスプロバイダー情報
- 端末にインストールされているアプリ
- 無線LANの状態
- リアルタイムの位置情報
- オーディオ情報
- 端末ストレージへのアクセス
- 位置情報アクセス
このデータ収集はプライバシーポリシーで開示されており、武漢ウイルスの保護制御、翻訳サービス、Weiboの統合、観光の推奨とナビゲーションに必要なものである。
ただし、「My 2022」の利用は任意ではありません。選手、報道関係者、観客は全員、アプリをインストールし、個人情報を追加しなければならない。
中国国内のユーザーの場合、「My 2022」は名前、国民ID番号、電話番号、メールアドレス、プロフィール写真、雇用情報を収集し、2022年北京オリンピック組織委員会と共有します。
中国国民以外場合、「My 2022」は完全なパスポート情報、日々の健康状態、武漢ウイルスのワクチン接種状況、人口統計データ、どの組織で働くかなどを収集する。
安全性の低い通信
さらに懸念されるのは、アプリのSSLベースの暗号化に欠陥があり、認証検証の問題から不正な接続を許してしまうことです。
Citizen Labの調査結果によると、攻撃者は少なくとも5つのサーバになりすまし、アプリから送信されるデータを傍受し、悪意のあるホストを信頼できると見なすよう仕向けることができます。
そのため、前項で説明したすべての機密データは、中国政府の管理下にない第三者によって収集される可能性があります。
サーバ詐称の問題に加え、アナリストは、送信データが常に暗号化されているとは限らないため、単純なネットワークパケットの盗聴によって、機密メタデータを含む一部の送信を傍受し、平文で読み取ることが可能であることを発見しました。