トピック検索
宿毛線
2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される
2022年01月19日 11時36分
022年2月に開催される北京オリンピックで、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明しました。MY2022には、暗号化の不具合だけでなく政治的なキーワードの検閲に関連するデータも搭載されていたとのことです。
Cross-country Exposure: Analysis of the MY2022 Olympics app - The Citizen Lab
https://citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app/
China's app for Olympic athletes has security flaws, study finds - Axios
https://www.axios.com/beijing-winter-olympics-app-security-flaws-0a51a256-00b7-4cca-94ab-0b87a8acf1d4.html
Report: Chinese Olympic app has serious security flaws | AP News
https://apnews.com/article/coronavirus-pandemic-winter-olympics-sports-technology-health-69ea8d5a5e5e51e898bf2f867358214f
MY2022は、オリンピック選手らの新型コロナウイルスワクチン接種情報などの収集を目的に、北京金融控股集団(Beijing Financial Holdings Group)という中国の国有企業が開発したアプリです。大会に出場する中国内外のすべての参加者は、中国に入国する14日前にMY2022を端末にダウンロードし、毎日健康状態のモニタリングを受けてその情報をアプリで提出することが義務付けられています。
このアプリについて、トロント大学の学際的研究機関であるCitizen Labは1月18日に、「2022年北京オリンピックの健康管理アプリ『MY2022』には、ユーザーの音声やファイル転送を保護する暗号化が簡単に回避されてしまうという、単純ながら致命的な欠陥があります」と発表しました。
今回、Citizen Labが指摘しているMY2022のセキュリティ上の欠陥は2つあります。そのうちの1つは、アプリがSSL証明書の検証を行っていないため、機密性の高い暗号化データの送信先を検証できないという脆弱(ぜいじゃく)性です。SSLを使用すると、端末がサーバーに接続して送信するデータのプライバシーを保護し、通信内容が読み取られたり改ざんされたりしないようにできます。MY2022がこの機能を有していないということは、第三者がアプリとサーバーとの通信を妨害して信頼済みのサーバーになりすますことで、パスポート情報や医療情報を盗んだり、ターゲットに偽の指示を送ったりすることが可能になることを意味します。
もう1つの欠陥は、MY2022が一部の機密データを暗号で保護せずに送信するという点です。暗号化されていないデータには、メッセージの送信者と受信者の名前、ユーザーアカウントの識別子などプライバシー性の高いデータが含まれており、安全性の低い無線LANに接続している人やインターネットのプロバイダなどによって容易に盗み取ることができる状態になっていました。
MY2022が持つこれらの問題は、Android向けとiOS向けの両方で確認されました。またCitizen Labは、MY2022がユーザー情報をどんな組織と共有するかがプライバシーポリシーに明記されていないことも指摘した上で、「Google PlayのポリシーやApp Storeのガイドラインに違反しているおそれがあるため、今後両社により何らかの対応が行われる可能性があると考えています」と述べました。
https://gigazine.net/news/20220119-my2022-china-olympics-app-security/
古トピの為、これ以上コメントできません
1件~22件 ( 全22件)
*コメント欄のパトロールでYahoo!ニュースのAIを使用しています
ママスタコミュニティはみんなで利用する共有の掲示板型コミュニティです。みんなが気持ちよく利用できる場にするためにご利用前には利用ルール・禁止事項をご確認いただき、投稿時には以下内容をもう一度ご確認ください。
上記すべてをご確認いただいた上で投稿してください。
No.1 日南線
22/01/19 15:12:41
欠陥じゃないでしょ
ワザとそういう仕様にしてるんでしょ
返信
No.2 東葉高速線
22/01/19 20:04:16
中国だもん
それくらいみんな予想してたでしょ?
返信
No.3 平成筑豊鉄道田川線
22/01/19 20:07:44
中国に文句言えばいい
返信
No.4 磐越西線
22/01/21 05:04:42
選手には使い捨てのスマホを持たせた方がいいと思う
返信
1件
No.5 遠州鉄道鉄道線
22/01/21 05:08:28
不具合じゃなくて仕様だよね…
あの国の専用の端末にじゃないと怖くて入れられない。zoomも廃棄していい古い端末に入れて使ってる…
返信
No.6 北陸鉄道浅野川線
22/01/21 06:15:22
【速報】中国政府、北京五輪参加選手の個人情報を窃取かw
この犯罪国家をどうにかした方がいい。
北京五輪に参加する選手のスマホ個人情報を窃取するつもりだと分かった。
選手村の共用Wi-Fiに接続することでバックドアが仕込まれる恐れがあるという。
使い捨てのプリペイド式端末を持参するなど対策も取られつつあるようだ。
更に、中国共産党は『北京五輪出場選手全員に強制的に肛門PCR検査を実施すべきだ!』と調査も進んでいる!
https://jp24h.com/post/132523.html
返信
No.7 東葉高速線
22/01/21 06:24:32
経済成長しても中国は中国
昔からのお国柄は変わらないよね
返信
No.8 九州新幹線
22/01/21 06:39:45
>>4
中国に入国した途端にデータ抜かれるって言うね。
アメリカの要人は、仕事で中国行く時は家に携帯電話置いていくってさ。
返信
1件
No.9 福岡市地下鉄箱崎線
22/02/05 16:52:09
プリペイド携帯を使いましょう
返信
No.10 京阪京津線
22/02/05 16:56:24
チャイナリスク
返信
No.11 福岡市地下鉄七隈線
22/02/05 17:24:16
>>8
日本の現地リポーターも他国の報道陣は自分のスマホは持ってきてない人が多いって言ってたよ。
返信
No.12 岩徳線
22/02/05 17:25:54
参加者全員に義務…
こわ
返信
No.13 札幌市電山鼻西線
22/02/05 21:24:53
うーん、とっても中国らしいやり口だネ!
返信
No.14 京阪本線
22/02/05 22:43:25
よくこんな怖い国でやるよね
決定した責任者はどうにかしろよ
返信
No.15 熊本市電幹線
22/02/05 22:46:25
ロイターかなんかで読んだけど、他の国から指摘されてもスルーだったみたいね
返信
No.16 近鉄志摩線
22/02/06 06:41:39
欠陥じゃなくてわざとそういう仕組みにしてんでしょ
返信
1件
No.17 札幌市電山鼻線
22/02/06 06:59:11
>>16
むしろばれたことが欠陥
中国からしてみれば
返信
No.18 四日市あすなろう鉄道八王子線
22/02/07 05:37:00
選手の情報抜かれまくりんぐ
返信
No.19 Osaka Metro長堀鶴見緑地線
22/02/08 05:47:34
本当にロクなことしない国だね
返信
No.20 とさでん交通後免線
22/02/08 19:16:39
抜いた情報を何に使うの?
気味が悪いわ
返信
1件
No.21 名鉄各務原線
22/02/09 04:52:38
>>20
弱みを握って試合に負けさせるとか?
返信
No.22 近鉄けいはんな線
22/02/21 11:03:42
日本代表選手の個人情報も抜かれたの?
返信