Ứng dụng truy vết tại Olympic Bắc Kinh 2022 có lỗi bảo mật nghiêm trọng

Cơ quan nghiên cứu bảo mật Citizen Lab đã phát hiện một số lỗi bảo mật nghiêm trọng trong ứng dụng MY2022 sắp được các vận động viên tham gia Olympic sử dụng.

Ứng dụng truy vết tại Olympic Bắc Kinh 2022 có lỗi bảo mật nghiêm trọng - 1

Ứng dụng trên smartphone mà các vận động viên tham gia Olympic sắp tới phải sử dụng tại Trung Quốc để thông báo dữ liệu đi lại và dữ liệu sức khỏe có một số lỗi bảo mật nghiêm trọng. Đây là kết quả của một báo cáo do Citizen Lab - một cơ quan nghiên cứu về bảo mật trực thuộc Đại học Toronto - thực hiện. 

Ứng dụng mang tên MY2022 được thiết kế để hỗ trợ truy vết tiếp xúc trong trường hợp xảy ra lây nhiễm Covid-19 giữa các vận động viên Olympic. Nó là một phần của chiến lược “tách riêng” các vận động viên và người tham gia Olympic với phần lớn dân số Trung Quốc. 

Báo cáo của Citizen Lab cho biết ứng dụng MY2022 không xác nhận một chữ ký mã hóa độc nhất với máy chủ khi truyền dữ liệu. Nói cách khác, hacker có thể có được dữ liệu này mà phía chính phủ Trung Quốc không hề hay biết. Một số cấu phần khác của ứng dụng dụng, chẳng hạn như dịch vụ nhắn tin, không mã hóa metadata, khiến việc theo dõi tin nhắn đi từ máy điện thoại nào tới máy điện thoại nào trở nên dễ dàng đối với bên cung cấp dịch vụ viễn thông.

Jeffrey Knockel, một nhà nghiên cứu tại Citizen Lab và tác giả bản báo cáo, cho biết: “Toàn bộ thông tin bạn truyền đi có thể bị theo dõi, đặc biệt khi bạn dùng một mạng không tin tưởng như Wi-Fi tại quán cafe hay khách sạn".

Hiện chưa rõ liệu các lỗ hổng bảo mật này có tồn tại theo chủ ý hay không, nhưng báo cáo phỏng đoán rằng biện pháp mã hóa đầy đủ có thể can thiệp với một số công cụ theo dõi online của chính phủ Trung Quốc, đặc biệt là hệ thống cho phép chính quyền địa phương theo dõi điện thoại qua các mạng Wi-Fi công cộng. Tuy nhiên, các nhà nghiên cứu cho rằng có lẽ các lỗ hổng này không có chủ ý, vì chính phủ Trung Quốc sẽ nhận được luôn dữ liệu từ ứng dụng mà không cần can thiệp trong quá trình truyền dữ liệu. Theo cách nói của ông Knockel, sử dụng ứng dụng MY2022 cũng có nghĩa là gửi thẳng dữ liệu đến cho chính phủ Trung Quốc. 

Trong báo cáo của mình, Citizen Lab cũng nói rằng đã thông báo về lỗ hổng bảo mật trên MY2022 tới Ban Tổ chức Olympic và Paralympic Bắc Kinh vào ngày 3/12 vừa qua, nhưng chưa nhận được phản hồi. Một bản cập nhật vào tháng 1/2022 của ứng dụng này không khắc phục các vấn đề - một điều lại có thể khiến ứng dụng MY2022 vi phạm luật bảo vệ thông tin cá nhân của Trung Quốc cũng như chính sách quyền riêng tư của Apple và Google. 

Apple và Google chưa phản hồi yêu cầu bình luận. 

Ứng dụng MY2022 sắp được sử dụng cho Olympic Bắc Kinh 2022. 

Ứng dụng MY2022 sắp được sử dụng cho Olympic Bắc Kinh 2022. 

Những vấn đề như mã hóa không đầy đủ dữ liệu hoặc thậm chí không mã hóa từ lâu đã tồn tại trong ngành công nghệ Trung Quốc, khi mà các doanh nghiệp vừa phải bảo vệ dữ liệu của người dùng trong khi lại vừa phải sẵn sàng chia sẻ nó với các cơ quan chính phủ. 

Từ những ngày đầu của đại dịch Covid-19, Chính phủ Trung Quốc đã dựa vào các ứng dụng truy vết để kiểm soát các đợt bùng dịch và giám sát dân cư sống ở các thành phố bị phong tỏa do có ca nhiễm. Những ứng dụng này nhiều lúc thiếu bảo mật hoặc minh bạch về mức độ theo dõi thông tin. Chẳng hạn, vào năm 2020, phần mềm truy vết của Alibaba đã tiết lộ dữ liệu cá nhân của người dùng cho cảnh sát địa phương mà không cảnh báo người dùng. 

Trong quá trình chuẩn bị cho Olympic Tokyo 2021, Nhật Bản đã phát triển một ứng dụng giúp truy vết du khách quốc tế, nhưng công luận nhanh chóng lo ngại về nhiều lỗi trong ứng dụng này và việc liệu tất cả du khách có sử dụng smartphone để cài ứng dụng này hay không. 

Nguồn: [Link nguồn]

Trình duyệt Safari dính lỗ hổng bảo mật nghiêm trọng, có thể làm lộ tài khoản Google

Lỗ hổng bảo mật này bắt nguồn từ việc Apple triển khai API giúp lưu trữ dữ liệu trên trình duyệt gọi là IndexedDB.

Chia sẻ
Gửi góp ý
Lưu bài Bỏ lưu bài
Theo Tùng Phong (Theo New York Times) ([Tên nguồn])
Internet và những hiểm họa khôn lường Xem thêm
Báo lỗi nội dung
X
CNT2T3T4T5T6T7
GÓP Ý GIAO DIỆN