Ứng dụng Olympics 2022 bắt buộc du khách cài đặt là cơn ác mộng bảo mật

Theo một báo cáo gần đây, ứng dụng mà khán giả tham dự Thế vận hội mùa đông 2022 ở Bắc Kinh bắt buộc tải xuống có nguy cơ làm rò rỉ dữ liệu của họ.

MY2022 là ứng dụng bắt buộc dành cho du khách tại Thế vận hội mùa đông năm nay, hỗ trợ nhiều dịch vụ khác nhau như đề xuất điểm du lịch, theo dõi sức khỏe liên quan đến Covid cũng như định vị GPS. Đây là sản phẩm phát triển bởi Ủy ban Tổ chức Bắc Kinh và một công ty Trung Quốc có vốn đầu tư từ chính phủ - Tập đoàn Beijing Financial Holdings. Mặc dù được quảng cáo là công cụ tối ưu trải nghiệm du lịch, nhưng một số chuyên gia cảnh báo ứng dụng này sẽ thu thập thông tin của người dùng mà không có biện pháp bảo vệ cho lượng thông tin đó.

Theo một báo cáo mới từ các nhà nghiên cứu kỹ thuật số Citizen Lab tại Đại học Toronto, MY2022 không an toàn đến mức vi phạm luật bảo mật của chính đất nước chủ nhà - Luật bảo vệ thông tin cá nhân đảm bảo quyền bảo vệ dữ liệu cơ bản cho công dân Trung Quốc có hiệu lực từ cuối năm ngoái.

Ngoài ra, ứng dụng này cũng vi phạm Chính sách phần mềm không mong muốn của Google - chính sách giúp loại bỏ các app độc hại trong hệ sinh thái Android và vi phạm nguyên tắc ứng dụng của Apple.

Nhóm nghiên cứu đã xem xét phiên bản 2.0.0 dành cho iOS và 2.0.1 trên Android. Họ nhận thấy chúng đều mắc phải những lỗi giống nhau: cách xử lý mã hóa và truyền dữ liệu.

Theo Citizen Lab, MY2022 thường thất bại trong khâu xác thực chứng chỉ SSL - cung cấp địa chỉ sẽ nhận dữ liệu mà app gửi đi. Đây chính là yếu tố chính đe dọa đến dữ liệu người dùng, kẻ tấn công có thể giả mạo kết nối dẫn đến một địa chỉ web hợp pháp, sau đó đánh cắp dữ liệu trên app đó. Nhóm nghiên cứu còn phát hiện MY2022 đang truyền một loại siêu dữ liệu mà không có bất kỳ loại mã hóa SSL hoặc phương pháp bảo mật nào. Điều này có nghĩa là nó luôn trong tình trạng tự do truy cập.

Mặc dù tích cực thu thập một lượng lớn thông tin nhạy cảm như vậy, MY2022 không hề có biện pháp để bảo vệ cho kho dữ liệu đó. Nhóm nghiên cứu đã báo cáo vấn đề này với Ủy ban tổ chức Bắc Kinh hơn một tháng trước (3/12), nhưng đến giờ họ vẫn chưa nhận được phản hồi.

Dù Ủy ban Bắc Kinh chưa bao giờ trả lời Citizen Lab về những lo ngại xung quanh ứng dụng trên, nhưng họ vẫn đang tích cực ra mắt phiên bản cập nhật mới của app trên iOS. Phiên bản số 2.0.5 không những không khắc phục các lỗi trước đó mà còn giới thiệu thêm chức năng mới: mã sức khỏe xanh - giúp giải quyết thông tin du lịch và dữ liệu sức khỏe - nhưng nó vẫn truyền dữ liệu thiếu an toàn như những tính năng trước đó.

MY2022 được tin là một nỗ lực khác của chính phủ Trung Quốc để giám sát con người, cụ thể ở đây là những người nước ngoài đến tham dự Thế vận hội. Tuy nhiên, Citizen Lab kết luận mọi thứ không quá nghiêm trọng như vẻ bề ngoài đáng ngờ của MY2022. Phần lớn dữ liệu dễ bị đánh cắp hiện đang được chính phủ Trung Quốc công khai thu thập (có đề cập trong chính sách quyền riêng tư của app), vì vậy có rất ít khả năng cho một âm mưu giám sát đen tối. Nhóm nghiên cứu cũng lưu ý thêm rằng Trung Quốc vốn không nổi tiếng với công nghệ bảo mật, do đó MY2022 có thể chỉ là một ứng dụng kém chất lượng đơn thuần.

“Chúng tôi tin rằng MY2022 không phải là công cụ phục vụ cho âm mưu đen tối của chính phủ, nhà phát triển của nó chỉ đơn giản chọn lựa những tính năng cần ưu tiên hơn”, nhóm nghiên cứu cho biết.