토론토 연구소 올림픽 앱 보안 취약점, 검열 프레임 발견

토론토 연구소 결함이 오디오 파일, 의료 및 여행 기록을 해커에게 위험하게 만든다고 말합니다.

토론토에 위치한 기술 연구소의 연구원들이 2022년 베이징 올림픽 참가자 전원이 사용해야 하는 앱에서 보안 취약점과 검열 프레임워크를 발견했습니다.

스파이웨어를 연구하는 토론토 대학의 뭉크 글로벌 정책 및 공공 정책 연구소의 시민 연구소는 오디오 파일, 건강 및 세관 양식을 전송하는
여권 세부 정보 및 해커에 취약한 의료 및 여행 기록.

파워볼 사이트 모음

연구원인 Jeffrey Knockel은 MY2022가 암호화를 사용하여 앱을 보호하고 정보가 전송될 때 정보에 액세스할 수 없도록 하는 일부 SSL 인증서
의 유효성을 검사하지 않는다는 사실을 발견했습니다.

이러한 유효성 검사 실패는 앱이 신뢰할 수 있는 것으로 착각하는 악의적인 호스트에 연결하도록 속여서 앱이 서버에 전송하는 정보를 가로
채고 공격자가 사용자에게 가짜 지침을 표시할 수 있음을 의미합니다.

토론토 연구소 발견

“최악의 시나리오는 누군가가 모든 트래픽을 가로채고 모든 여권 세부 정보, 모든 의료 정보를 기록하는 것입니다.” 보안 기능에 대해 호기심이 많은 기자가 그에게 접근한 후 앱을 조사한 연구원 Knockel이 말했습니다.

올림픽 조직위원회는 선수, 관중 및 언론인을 포함한 모든 경기 참석자가 중국에 도착하기 최소 14일 전에 COVID-19 검사 결과 및 예방
접종 상태와 같은 건강 및 세관 정보를 제출하기 위해 MY2022 앱을 다운로드하고 사용을 시작하도록 요구했습니다.

Beijing Financial Holdings Group이라는 국영 회사의 앱은 GPS 탐색, 문자, 화상 및 음성 채팅 기능과 파일 전송 기능, 뉴스 및 날씨 업데이트 제공 기능도 제공합니다.

앱 보안 취약 토론토 연구소 발견

Knockel은 앱이 매우 민감한 의료 정보를 누구와 공유하는지 불분명하다는 것을 발견했습니다.

올림픽 플레이북은 전기 정보 및 건강 관련 데이터와 같은 개인 데이터가 베이징 2022, 국제 올림픽 및 장애인 올림픽 위원회, 중국 당국
및 “[COVID-19] 대응 조치의 시행에 관련된 기타”에 의해 처리될 수 있음을 설명합니다.

Knockel은 MY2022가 국가 안보 문제, 공중 보건 사건 및 범죄 수사를 포함하되 이에 국한되지 않는 사용자 동의 없이 개인 정보를 공개할 몇 가지 시나리오를 설명한다고 말했습니다.

다른 기사 보기

그러나 앱은 이 정보에 액세스하기 위해 법원 명령이 필요한지 여부와 데이터를 받을 자격이 있는 사람을 지정하지 않습니다.

Knockel이 발견한 마지막 문제는 앱이 사용자가 “정치적으로 민감한” 콘텐츠를 신고할 수 있도록 허용하고 검열 키워드 목록이 있다는 것을 발견했다는 것입니다.

이 목록에는 신장 및 티베트의 긴장과 관련된 일부와 중국 정부 기관에 대한 언급을 포함하여 2,442개의 정치적 용어가 포함되어 있습니다.
목록에는 “유대인은 돼지다”와 “중국인은 모두 개다”로 번역되는 중국어 문구, “성스러운 꾸란”을 의미하는 위구르어, 달라이 라마를 지칭하는 티베트어 단어가 있습니다.