Pekin 2022 Kış Olimpiyatları için resmi uygulama olan ‘My 2022’, kullanıcılarının hassas verilerini koruma konusunda güvensiz bulundu.
En önemlisi, uygulamanın şifreleme sistemi, aracıların belgelere, sese ve dosyalara açık metin biçiminde erişmesini sağlayan önemli bir kusur taşıyor.
‘My 2022’ ayrıca bir anahtar kelime listesine dayalı olarak sansüre tabidir ve kullanıcıların yüklemesi gereken tüm hassas verileri tam olarak kimin alıp işlediğini belirlemeyen belirsiz bir gizlilik politikasına sahiptir.
Bu nedenle, Google’ın yazılım politikasını ve Apple’ın App Store yönergelerini ihlal ediyor, ancak her iki mağazada da mevcut. Son olarak, uygulama Çin’in gizlilik korumasına ilişkin kendi yasalarını ihlal ediyor.
Kaynak: Vatandaş Laboratuvarı
her şeyi istemek
tarafından ayrıntılı bir raporda Vatandaş Laboratuvarı, araştırmacılar potansiyel gizlilik ve güvenlik sorunları için ‘My 2022’ uygulamasını analiz ettiler ve uygulamanın aşağıdaki hassas bilgileri topladığını tespit ettiler:
- Cihaz tanımlayıcıları ve modeli
- Hücresel servis sağlayıcı bilgileri
- Cihazda yüklü uygulamalar
- WLAN durumu
- Gerçek zamanlı konum
- Ses bilgisi
- Cihaz depolama erişimi
- Konum erişimi
Bu veri toplama, gizlilik politikasında açıklanmıştır ve COVID-19 koruma kontrolleri, çeviri hizmetleri, Weibo entegrasyonu ve turizm önerileri ve navigasyon için gereklidir.
Ancak, ‘My 2022’yi kullanmak isteğe bağlı değildir. Tüm sporcular, basın mensupları ve seyirciler uygulamayı yüklemeli ve kişisel bilgilerini uygulamaya eklemelidir.
Yerli kullanıcılar için, ‘My 2022’ isimleri, ulusal kimlik numaralarını, telefon numaralarını, e-posta adreslerini, profil resimlerini ve istihdam bilgilerini toplar ve 2022 Olimpiyatları için Pekin Organizasyon Komitesi ile paylaşır.
‘My 2022’, yabancılar için eksiksiz pasaport bilgilerini, günlük sağlık durumunu, COVID-19 aşı durumunu, demografik verileri ve hangi kuruluş için çalıştıklarını toplar.
Güvenli olmayan iletişim
Daha da önemlisi, uygulamanın sertifika doğrulama sorunları nedeniyle sahte bağlantılara izin veren SSL tabanlı şifrelemesindeki kusurlardır.
Citizen Lab’in bulgularına göre, bir saldırgan en az beş sunucuyu yanıltabilir ve uygulamadan gönderilen verileri engelleyebilir ve kötü niyetli bir ana bilgisayarı güvenilir olarak görmesi için kandırabilir.
Bu nedenle, önceki bölümde açıklanan tüm hassas veriler, Çin hükümetinin kontrolü dışında olan üçüncü şahıslar tarafından toplanabilir.
Sunucu yanıltma sorununa ek olarak, analistler iletilen verilerin her zaman şifrelenmediğini, bu nedenle hassas meta veriler içeren bazı aktarımların ele geçirilebileceğini ve basit ağ paketi dinleme yoluyla düz metin biçiminde okunabileceğini buldu.
Açıklama ve yanıt
Citizen Labs tarafından keşfedilen ciddi gizlilik ve güvenlik riskleri, 3 Aralık 2021’de 2022 Olimpiyat ve Paralimpik Kış Oyunları için Pekin Organizasyon Komitesi’ne bildirildi.
Bugün (18 Ocak 2022) itibariyle kimse yanıt vermedi, bu nedenle araştırmacılar kusurları kamuya açıkladı.
Dün, uygulama geliştiricileri ‘My 2022’ 2.0.5 sürümünü yayınladı ve yeni bir analiz turunda, bildirilen sorunların hala çözülmediği belirlendi.
Çin’in uygulamadaki kusurları kasıtlı olarak yerleştirip yerleştirmediği sorusuyla ilgili olarak, Citizen Labs, verilerin alıcısının Çin devleti olduğunu ve başkaları için ek arka kapılar oluşturmak için hiçbir teşvik olmadığını göz önünde bulundurarak, bunu pek olası bulmuyor.