北京オリンピック参加者全員に使用が義務化されている専用アプリに脆弱性が発見

 
北京2022 冬季オリンピックの専用アプリ「MY2022」は、アスリートおよび観客の全員に使用が義務づけられています。同アプリはパスポート情報や渡航歴などを収集しますが、これらの個人情報が漏えいしかねない脆弱性が見つかった、と伝えられています。

アプリストアのガイドラインに違反

「MY2022」の分析を行ったカナダ・トロント大学のCitizen Labは、アプリに主に2つのセキュリティホールが発見されたと報告しています。
 
1つ目は、ユーザーの音声ファイルやファイル転送を保護する暗号化が、簡単に回避できる点です。また、パスポート情報、人口統計学的情報、ヘルスケアデータ、渡航歴などを送信する健康診断書にも脆弱性が見つかり、サーバー応答が偽装され、攻撃者がユーザーに偽の指示を表示することが可能とのことです。
 
Citizen Labは、これらのアプリのセキュリティ上の欠陥は、Googleの「望ましくないソフトウェア」のポリシーやAppleのApp Store Reviewガイドラインに違反しているだけでなく、プライバシー保護に関する中国の法律や国家基準にも反している可能性がある、と指摘しています。

検閲機能も搭載

「MY2022」には、「政治的に敏感な」コンテンツを報告するための機能が含まれていることもわかっています。アプリには検閲用キーワードリストも含まれており、現在は停止中とのことですが、新疆、チベットなどの国内問題や中国政府機関への言及など、様々な政治的トピックが対象になっているそうです。
 
 
Source:Citizen Lab via 9to5Mac
(lexi)