Nhóm an ninh mạng Canada Citizen Lab đã công bố một báo cáo liệt kê một số lỗ hổng bảo mật trong ứng dụng MY2022 được thiết kế để sử dụng rộng rãi tại Thế vận hội mùa đông 2022 sắp tới ở Bắc Kinh vào tháng tới.
Để phù hợp với bối cảnh, tất cả người tham gia, nhà báo và người tham dự sự kiện phải tải xuống ứng dụng 14 ngày trước khi khởi hành đến Trung Quốc. Ngoài theo dõi sức khỏe, ứng dụng này còn bao gồm các tính năng như nhắn tin, chuyển tập tin, tin tức Olympic và dịch vụ hướng dẫn thành phố cho Bắc Kinh.
Theo Citizen Lab, ứng dụng không xác thực được chứng chỉ SSL, điều đó có nghĩa là ứng dụng không thể xác minh chính xác người đang gửi dữ liệu cho ai. Điều này sẽ cho phép tin tặc giả mạo các máy chủ đáng tin cậy và hiển thị các hướng dẫn giả mạo cho người dùng, cũng như truy cập thông tin nhạy cảm trong các biểu mẫu hải quan y tế.
Không chỉ vậy, các nhà nghiên cứu có trụ sở tại Toronto còn phát hiện ra rằng MY2022 không mã hóa được siêu dữ liệu nhạy cảm, bao gồm tên của người gửi, người nhận và mã nhận dạng tài khoản người dùng của họ. Điều này có nghĩa là nhiều bên, bao gồm ISP hoặc thậm chí ai đó được kết nối với điểm truy cập wifi không bảo mật, có thể truy cập dữ liệu.
Điều đáng lo ngại nhất là nhóm phát hiện ra rằng ứng dụng này cho phép người dùng báo cáo nội dung nhạy cảm về chính trị và phát hiện ra danh sách từ khóa kiểm duyệt trong phiên bản Android trong một tệp có tên “illegalwords.txt”. Danh sách chứa 2,442 từ khóa, với phần lớn trong số chúng có động cơ chính trị hoặc liên quan đến những từ ngữ thô tục, mặc dù có vẻ như danh sách này không hoạt động.
Trả lời báo cáo, Ủy ban Olympic quốc tế (IOC) cho biết ứng dụng MY2022 đã được đánh giá độc lập và được phát hiện không có lỗ hổng nghiêm trọng nào. Ban tổ chức Thế vận hội Bắc Kinh đã không phản hồi về phát hiện này nhưng họ đã phát hành bản cập nhật cho phiên bản iOS nhưng không khắc phục được bất kỳ vấn đề nào. Thay vào đó, một tính năng mới có tên “Mã sức khỏe xanh” đã được thêm vào để thu thập thông tin giấy tờ du lịch và thông tin lịch sử y tế và được phát hiện là có lỗ hổng tương tự.
Tuy nhiên, một số quốc gia đã cảnh báo các vận động viên không mang thiết bị cá nhân của họ đến Trung Quốc vì lo ngại các mối đe dọa an ninh mạng. Ví dụ: Ủy ban Olympic và Paralympic Hoa Kỳ đã khuyến nghị sử dụng điện thoại ghi đĩa cũng như máy tính cho thuê hoặc dùng một lần. Mặt khác, Ủy ban Olympic Hà Lan được cho là sẽ cung cấp điện thoại và máy tính xách tay cho các vận động viên và nhân viên, những thứ này sẽ được xử lý sau khi họ trở về từ Bắc Kinh.
(Nguồn: Phòng thí nghiệm công dân, Bên trong trò chơi)
