中国五輪の義務化アプリに「壊滅的な」暗号化の欠陥
NEW: Mandatory Chinese Olympics app has ‘devastating’ encryption flaw: analysthttps://t.co/A7I1khSvVG
— Insider Paper (@TheInsiderPaper) January 18, 2022
中国五輪の義務化アプリに「壊滅的な」暗号化の欠陥:アナリスト
1月 18日
北京オリンピックの参加者全員が使用しなければならないアプリに暗号化の欠陥があり、個人情報が漏えいする恐れがあると、サイバーセキュリティ監視団が火曜日に発表した。
Covidを監視するために使用され、中国の首都で開催されるゲームの選手、ジャーナリスト、その他の出席者に義務付けられているMY2022アプリの暗号化に「単純だが破壊的な欠陥」があり、健康情報、音声メッセージ、その他のデータが漏洩する恐れがあると、シチズン・ラボのレポート執筆者のジェフリー・ノッケル氏は警告しています。
シチズンラボによると、12月上旬に中国の大会組織委員会に問題を通知し、15日間の対応と45日間の修正期間を与えたが、何の返答もなかったという。
“中国は政治的検閲と監視を行うために暗号化技術を損なってきた歴史がある “とノッケル氏は書いている。
“そのため、このアプリの暗号化が監視目的で意図的に妨害されたのか、それとも開発者の怠慢から生まれた欠陥なのかを問うのは妥当なことです。”と続け、「中国政府がMY2022の暗号化を妨害したケースは問題です」と述べています。
スポンサーリンク
この欠陥は、オンライン・エンティティが安全に通信できるようにするSSL証明書に影響する。
MY2022はSSL証明書を認証しないため、他者がアプリのデータにアクセスする可能性があり、一方でデータはSSL証明書が持つ通常の暗号化なしで送信される。
MY2022アプリには、中国の「政治的にセンシティブな」フレーズの「illlegalwords.txt」というリストも含まれており、その多くは中国の政治状況やチベットやウィグルのイスラム少数民族に関係するものだ。
この中には、「中国共産党悪」や中国国家主席の習近平などのキーワードも含まれているが、ノッケル氏は、このリストが検閲のために積極的に利用されているかどうかは不明であると述べている。
これらの機能により、このアプリはスマートフォンのソフトウェアに関するGoogleとAppleの両方のポリシーに違反している可能性があり、「また、プライバシー保護に関する中国自身の法律や国家基準にも違反しており、将来の救済の可能性を提供しています」と彼は書いています。
参考記事
1日1クリックの応援よろしくお願いします!
↓ ↓ ↓ ↓
