北京五輪の選手用アプリに重大なセキュリティ欠陥　政治的なキーワード検閲リストも発見される

2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される

2022年01月19日 11時36分

022年2月に開催される北京オリンピックで、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明しました。MY2022には、暗号化の不具合だけでなく政治的なキーワードの検閲に関連するデータも搭載されていたとのことです。

Cross-country Exposure: Analysis of the MY2022 Olympics app - The Citizen Lab
https://citizenlab.ca/2022/01/cross-country-exposure-analysis-my2022-olympics-app/

China's app for Olympic athletes has security flaws, study finds - Axios
https://www.axios.com/beijing-winter-olympics-app-security-flaws-0a51a256-00b7-4cca-94ab-0b87a8acf1d4.html

Report: Chinese Olympic app has serious security flaws | AP News
https://apnews.com/article/coronavirus-pandemic-winter-olympics-sports-technology-health-69ea8d5a5e5e51e898bf2f867358214f

MY2022は、オリンピック選手らの新型コロナウイルスワクチン接種情報などの収集を目的に、北京金融控股集団(Beijing Financial Holdings Group)という中国の国有企業が開発したアプリです。大会に出場する中国内外のすべての参加者は、中国に入国する14日前にMY2022を端末にダウンロードし、毎日健康状態のモニタリングを受けてその情報をアプリで提出することが義務付けられています。

このアプリについて、トロント大学の学際的研究機関であるCitizen Labは1月18日に、「2022年北京オリンピックの健康管理アプリ『MY2022』には、ユーザーの音声やファイル転送を保護する暗号化が簡単に回避されてしまうという、単純ながら致命的な欠陥があります」と発表しました。

今回、Citizen Labが指摘しているMY2022のセキュリティ上の欠陥は2つあります。そのうちの1つは、アプリがSSL証明書の検証を行っていないため、機密性の高い暗号化データの送信先を検証できないという脆弱(ぜいじゃく)性です。SSLを使用すると、端末がサーバーに接続して送信するデータのプライバシーを保護し、通信内容が読み取られたり改ざんされたりしないようにできます。MY2022がこの機能を有していないということは、第三者がアプリとサーバーとの通信を妨害して信頼済みのサーバーになりすますことで、パスポート情報や医療情報を盗んだり、ターゲットに偽の指示を送ったりすることが可能になることを意味します。

もう1つの欠陥は、MY2022が一部の機密データを暗号で保護せずに送信するという点です。暗号化されていないデータには、メッセージの送信者と受信者の名前、ユーザーアカウントの識別子などプライバシー性の高いデータが含まれており、安全性の低い無線LANに接続している人やインターネットのプロバイダなどによって容易に盗み取ることができる状態になっていました。

MY2022が持つこれらの問題は、Android向けとiOS向けの両方で確認されました。またCitizen Labは、MY2022がユーザー情報をどんな組織と共有するかがプライバシーポリシーに明記されていないことも指摘した上で、「Google PlayのポリシーやApp Storeのガイドラインに違反しているおそれがあるため、今後両社により何らかの対応が行われる可能性があると考えています」と述べました。

https://gigazine.net/news/20220119-my2022-china-olympics-app-security/