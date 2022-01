Американский исследователь обнаружил в коде обязательного приложения для участников Зимних Олимпийских игр в Пекине шпионский код, который круглосуточно ведет прослушку и отсылает все на китайские сервера. Ранее о потенциальной опасности сервиса предупреждала газета The New York Times, однако им все еще пользуются как спортсмены, так и весь персонал грядущей Олимпиады.

Большой брат

ИБ-исследователь Джонатан Скотт обнаружил, что обязательное приложение для участников Олимпиады в Пекине для iOS и Android шпионит за участниками Игр. Он опубликовал свои выводы в Twitter после исследования приложения My 2022. Как оказалось, оно следит за пользователями, записывая аудио и отсылая его для расшифровки на китайские серверы.

My 2022 — это приложение, при помощи которого спортсмены, тренеры, журналисты, руководство и весь персонал Зимних Олимпийских игр 2022 года в Пекине обязаны предоставлять сведения о своем здоровье китайским властям. Оно предназначено для отслеживания распространения COVID-19, а также служит информационным центром для получения сведений о событиях, погоде и достопримечательностях. Пользователи также будут обязаны внести в приложения свои паспортные данные, информацию о прилете и вылете из Китая.

В описании в App Store утверждается, что

приложение собирает только «обезличенные» данные, как и любое современное приложение — контактную информацию, местоположение и прочее. Информации, указывающей на то, что My 2022 ведет прослушку и направляет запись на китайские сервера, — нет.

Скотт в свою очередь доказал, что приложение действительно носит шпионский характер. Для этого My 2022 не использует какие-либо эксплойты или бреши в системе безопасности смартфонов — оно просто ведет активную прослушку. Единственный способ остановить прослушку — удалить приложение, так как его закрытие не помогает. Приложение само себе дает разрешение на работу и запись всего происходящего в фоновом режиме.

Также стало известно, что My 2022 использует технологию искусственного интеллекта китайского стартапа iFlytek, который ранее был внесен в черный список США из-за якобы связи с «геноцидом уйгуров» в Китае.

В середине января газета The New York Times со ссылкой на исследование Citizen Lab предупреждала, что в My 2022 обнаружены серьезные недостатки в шифровании данных. Это, по словам издания, ставит под угрозу тысячи участников и «вызывает вопросы» в безопасности систем отслеживания вспышек COVID-19.

В отчете отмечается, что My 2022 никак не шифрует данные, направляемые на сервер, что позволяет хакерам с легкостью их перехватить. Кроме того, встроенная служба обмена сообщениями не шифрует метаданные, благодаря чему злоумышленники или администраторы общественных Wi-Fi-точек могут определить, кто и когда отправлял сообщения.

«Вся информация, которую вы передаете, может быть перехвачена, особенно если вы находитесь в ненадежной сети, такой как Wi-Fi в кафе или отеле»,

— отметил Джеффри Нокель, научный сотрудник Citizen Lab и один из авторов исследования. Он считает, что конфиденциальная информация, полученная таким образом, может быть использована для кражи личных данных.

Руководитель отдела по защите персональных данных Б-152, сертифицированный профессионал в области информационной приватности (CIPP/Е) Максим Зиновьев в беседе с «Газетой.Ru» рассказал, что приложение My 2022 явно нарушает права его пользователей.

«Приложение My 2022 является демонстрацией нарушения фундаментальных прав гостей Олимпийских игр 2022 в Пекине, атлетов и прочих пользователей. С ноября 2021 г. в Китае действует новый закон Personal Information Protection Law of the People's Republic of China (PIPL), который призван защищать права субъектов персональных данных в Китае. PIPL — один из законов, принятых вслед за GDPR, и во многом заимствует принципы Регламента ЕС. Очевидно, что разработчик приложения My 2022 нарушает основные нормы PIPL о прозрачности обработки данных, и оценке рисков при внедрении таких технологий, как запись голоса», — считает Зиновьев.

Ранее Великобритания, Германия, Австралия, США и многие другие страны рекомендовали своим спортсменам не брать на Олимпиаду личные гаджеты из-за возможности шпионажа со стороны Китая. Вместо этого им предложили выдать одноразовые телефоны.