Een app die alle deelnemers aan de komende Olympische Spelen in Peking moeten gebruiken, bevat encryptiefouten waardoor persoonlijke informatie kan lekken, zei een cyberbeveiligingswaakhond dinsdag.
Door de "eenvoudige maar verwoestende fout" in de codering van de MY2022-app, die wordt gebruikt om Covid te monitoren en verplicht is voor atleten, journalisten en andere deelnemers aan de wedstrijden in de Chinese hoofdstad, kunnen gezondheidsinformatie, spraakberichten en andere gegevens lekken , waarschuwde Jeffrey Knockel, auteur van het rapport voor Citizen Lab.
Het Internationaal Olympisch Comité reageerde op het rapport door te zeggen dat gebruikers de toegang van de app tot delen van hun telefoons kunnen uitschakelen en dat beoordelingen van twee niet nader genoemde cyberbeveiligingsorganisaties "bevestigen dat er geen kritieke kwetsbaarheden zijn".
"De gebruiker heeft de controle over waartoe de ... app toegang heeft op hun apparaat", vertelde de commissie aan AFP, eraan toevoegend dat het niet nodig is om het op mobiele telefoons te installeren "omdat geaccrediteerd personeel in plaats daarvan kan inloggen op het gezondheidsbewakingssysteem op de webpagina .”
De commissie zei dat het Citizen Lab om zijn rapport had gevraagd "om hun zorgen beter te begrijpen".
Citizen Lab zei dat het het Chinese organisatiecomité voor de Spelen begin december op de hoogte had gesteld van de problemen en hen 15 dagen de tijd had gegeven om te reageren en 45 dagen om het probleem op te lossen, maar kreeg geen antwoord.
"China heeft een geschiedenis van het ondermijnen van encryptietechnologie om politieke censuur en toezicht uit te voeren", schreef Knockel.
"Als zodanig is het redelijk om te vragen of de codering in deze app opzettelijk is gesaboteerd voor bewakingsdoeleinden of dat het defect is ontstaan uit nalatigheid van de ontwikkelaar," vervolgde hij, eraan toevoegend dat "de zaak voor de Chinese overheid die de codering van MY2022 saboteert, problematisch is. ”
De fouten zijn van invloed op SSL-certificaten, waarmee online entiteiten veilig kunnen communiceren.
MY2022 authenticeert geen SSL-certificaten, wat betekent dat andere partijen toegang hebben tot de gegevens van de app, terwijl gegevens worden verzonden zonder de gebruikelijke versleuteling van SSL-certificaten, schreef Knockel.
Hoewel de app transparant is over de medische informatie die het verzamelt als onderdeel van China's inspanningen om Covid-19-gevallen te screenen, zei hij dat "het onduidelijk is met wie of met welke organisatie(s) het deze informatie deelt."
MY2022 bevat ook een lijst met de naam "illegalwords.txt" van "politiek gevoelige" zinnen in China, waarvan vele betrekking hebben op de politieke situatie van China of de Tibetaanse en Oeigoerse moslimminderheden.
Deze omvatten trefwoorden als "CCP kwaad" en Xi Jinping, de president van China, hoewel Knockel zei dat het onduidelijk was of de lijst actief werd gebruikt voor censuurdoeleinden.
Vanwege deze functies kan de app zowel het beleid van Google als Apple over smartphonesoftware schenden, en "ook China's eigen wetten en nationale normen met betrekking tot privacybescherming, wat mogelijke mogelijkheden biedt voor toekomstig verhaal", schreef hij.
Zie ook: Zuid-Korea onderzoekt cyberuitschakeling tijdens Olympische ceremonie
Zie ook: Geavanceerde valse vlaggen geplant in Olympic Destroyer-malware
Copyright © AFP 2022
Tags: 
