Голландцы опасались не зря: олимпийское приложение Пекина шпионит за спортсменами
Исследователь безопасности Джонатан Скотт проанализировал код приложения MY2022 — оно обязательно к установке всеми спортсменами и гостями Зимней Олимпиады, которая пройдёт в феврале в Пекине. Как оказалось, обе его версии — для iOS и Android — собирают с пользовательских смартфонов аудио и отправляют для обработки на китайские серверы, пишет AppleInsider.
Приложение призвано помешать распространению коронавируса в период проведения игр и будет служить единым центром информации о мероприятиях, погоде, транспорте и достопримечательностях.
На странице приложения в App Store не говорится, что оно записывает аудио, но Скотт продемонстрировал, что это так. И дело даже не в эксплойтах или уязвимостях безопасности: приложение просто ведёт активную прослушку того, что происходит вокруг пользователя, и отправляет записи на серверы, находящиеся в Китае. По словам Скотта, приложение способно само давать себе необходимые для этого разрешения из фонового режима.
it doesn’t get rid of the dot, the application forces itself to the foreground to make sure it has the capability to listen. so for example on android
В приложении применяются технологии местного стартапа по распознаванию речи iFlytek. В 2019 году он попал в американский «чёрный список» технокомпаний за причастность к ущемлению уйгуров в Китае.
New York Times ранее сообщал, что канадские эксперты из Citizen Lab нашли у приложения серьёзные недочёты, связанные с шифрованием пользовательских данных (например о результатах тестов на коронавирус, о местоположении и других персональных данных), которые позволяют хакерам легко перехватить их.
Ранее власти Нидерландов настоятельно рекомендовали своим атлетам и их командам не брать с собой личные гаджеты — взамен им должны были выдать другие, специально для использования во время игр. Аналогичные меры предосторожности предприняли США, Австралия и другие страны.
10 классных ИТ-курсов из сферы, которой не грозят увольнения (июнь 2023)
Собрали для вас интересные курсы по информационной безопасности на различных популярных платформах. В подборке как программы для новичков, так профессиональные сертификации для опытных айтишников, которым требуется прокачать Cyber Security более глубоко или освежить знания.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.