Çin’in Sporcular için Zorunlu Olimpiyatlar Uygulamasında Görülen Güvenlik Kusurları
Yeni bir rapora göre, sporcuların gelecek ay Çin’deyken sağlık ve seyahat verilerini bildirmek için kullanacakları zorunlu akıllı telefon uygulamasında, Pekin’in kullanmayı planladığı sistemler hakkında güvenlik sorularını gündeme getiren yeni bir rapora göre ciddi şifreleme kusurları bulunuyor. Covid-19 salgınlarını takip edin.
Toronto Üniversitesi siber güvenlik şirketi Citizen Lab tarafından hazırlanan rapora göre, uygulamanın koronavirüs test sonuçlarını, seyahat bilgilerini ve diğer kişisel verileri iletecek bölümleri, şifreli aktarımlarda kullanılan imzayı doğrulamadı veya verileri hiç şifrelemedi. bekçi köpeği. Grup ayrıca uygulamanın kodunda sansür için işaretlenmiş bir dizi siyasi terim içerdiğini, ancak listeyi iletişimleri filtrelemek için aktif olarak kullanmıyor gibi göründüğünü buldu.
Çin, sporcuları ve diğer katılımcıları büyük Çin nüfusundan ayrı tutarak Covid-19’un yayılmasını kontrol etmeye çalışacak bir Kış Olimpiyatları için son planlama aşamalarına girdi. MY2022 adlı uygulama, bu önlemleri desteklemek için tasarlandı ve herhangi bir salgın durumunda hükümet ve katılımcılar arasındaki elektronik bağlantıların iz ile iletişim kurmasını sağladı. Salgın durumunda nüfus hareketlerini kontrol etmek için kullanılan daha geniş bir uygulama tabanlı sağlık kodları sistemine benziyor.
Uygulamayla ilgili yeni endişeler, dünyanın en gelişmiş gözetleme ve sansür sistemlerinden birine sahip olan Çin’deki Oyunlar sırasında sansür ve gözetlemeyle ilgili daha geniş endişelerin altını çiziyor. Yetkililer, sporculara Facebook, Google ve Twitter gibi sitelerdeki yaygın engellemeleri aşmalarını sağlayacak hücresel hizmetler verileceğini söyledi.
Citizen Lab raporunda, güvenlik açıklarını 3 Aralık’ta Pekin Organizasyon Komitesi’ne açıkladığını ancak herhangi bir yanıt almadığını söyledi. Yazılımda Ocak ayında yapılan bir güncelleme, uygulamayı büyük olasılıkla Çin’in yeni yürürlüğe giren kişisel veri koruma yasalarını ve ayrıca Google ve Apple mağazalarında bir uygulamayı listelemek için gereken gizlilik politikalarını ihlal eden sorunları çözmedi.
Apple ve Google, yorum taleplerine hemen yanıt vermedi.
Eksik veya var olmayan şifreleme gibi sorunlar, uzun süredir tüketici verilerini koruma ve aynı zamanda devlet sansürleri ve gözetimi ile paylaşma gibi zorlu çifte görevle görevlendirilen Çin teknoloji endüstrisini rahatsız ediyor.
Çin hükümeti, Covid-19 pandemisinin ilk günlerinden itibaren salgınları kontrol etmek ve vakaların görüldüğü şehirlerde kilitli olan insanları izlemek için uygulama tabanlı izlemeye güveniyordu. Zaman zaman, bu tür sistemler güvenli veya şeffaf olmaktan daha az olmuştur. 2020’de Alibaba tabanlı izleme yazılımı, kişisel verileri kullanıcıları uyarmadan hemen yerel polise ifşa etti.
Koronavirüs maruziyetlerini izleyen uygulamalar güvenlik açıklarıyla dolu. Birçok ülke, koronavirüsün yayılmasına ayak uydurmak için bu uygulamaları aceleyle çıkardı, ancak daha sonra zayıf güvenlik uygulamalarını ele almak için çabaladı. İnsan hakları grupları, bu uygulamaların tasarımındaki kusurların insanları dolandırıcılık, kimlik hırsızlığı veya kapsamlı hükümet takibi riskine soktuğu ve halkın sağlık girişimlerine olan güvenini sarsabileceği konusunda uyardı.
Nisan 2020’de Norveç, Smittestopp veya “enfeksiyonu durdur” adlı bir akıllı telefon uygulamasını tanıttı ve bu uygulama, koronavirüse yakalanmış diğer kullanıcılarla temasa geçmeleri durumunda kullanıcıları uyardı. Ancak o Haziran ayına kadar, veri koruma düzenleyicileri, yoğunlaştırılmış gözetim risklerinin, uygulamanın kanıtlanmamış halk sağlığı yararlarından daha ağır bastığına dair endişelerini dile getirmişti. Ertesi ay, ülkenin veri gözlemcisi uygulamaya geçici bir yasak getirdi.
2021 Tokyo Olimpiyatları’na hazırlanırken Japonya, yabancı ziyaretçileri takip edecek bir kişi izleme uygulaması geliştirmeye çalıştı, ancak endişeler hızla yazılımdaki hatalara ve tüm ziyaretçilerin uygulamayı yükleyecekleri akıllı telefonlara sahip olup olmayacağına takıldı.
Citizen Lab raporu, MY2022’nin veri aktardığı sunucuyla benzersiz bir şifreleme imzasını doğrulayamadığını söyledi. Aslında bu, bilgisayar korsanlarının Çinli yetkililerin bilmeden verileri ele geçirebileceği anlamına geliyordu. Uygulamanın yerleşik mesajlaşma servisi gibi diğer kısımları, meta verileri şifreleyemedi ve kablosuz ağ veya telekom sahiplerinin hangi telefonun başka bir telefona ve ne zaman mesajlaştığını algılamasını kolaylaştırdı.
Citizen Lab araştırma görevlisi ve raporun yazarlarından biri olan Jeffrey Knockel, “Özellikle bir kafe veya otel Wi-Fi hizmeti gibi güvenilmeyen bir ağdaysanız, ilettiğiniz tüm bilgiler ele geçirilebilir” dedi. Dr. Knockel, bu şekilde kaldırılan hassas bilgilerin kimlik hırsızlığı için kullanılabileceğini de sözlerine ekledi.
Güvenlik açıklarının kasıtlı olup olmadığı net değil, ancak rapor, uygun şifrelemenin Çin’in her yerde bulunan çevrimiçi gözetim araçlarından bazılarına, özellikle de yerel yetkililerin halka açık kablosuz ağları veya internet kafeleri kullanan telefonları gözetlemelerine izin veren sistemlere müdahale edebileceğini belirtti. Yine de, araştırmacılar kusurların muhtemelen kasıtlı olduğunu ekledi, çünkü hükümet zaten uygulamadan veri alıyor olacak, bu nedenle aktarılırken verileri kesmeye gerek kalmayacak.
Dr. Knockel, “Uygulamayı kullanırken zaten doğrudan Çin hükümetine veri gönderiyorsunuz” dedi.
Uygulama ayrıca, kodda “yasadışı kelimeler” olarak tanımlanan 2.422 siyasi anahtar kelimenin bir listesini de içeriyordu. Citizen Lab’e göre, anahtar kelime sansür listesi olarak çalıştı. Araştırmacılar, listenin, uygulamanın sohbet ve dosya aktarım işlevinin aktif olarak kullanmadığı gizli bir işlev gibi göründüğünü söyledi.
Sansürlü kelimelerin listeleri Çin sosyal medya uygulamalarında yaygındır ve istenmeyen siyasi konuların yayılmasını önlemek için tasarlanmış çok katmanlı bir sansür sisteminde ilk savunma hattı olarak çalışır.
Citizen Lab, kelime listesinin çoğunlukla Tiananmen Meydanı katliamına atıfta bulunan Çince terimleri, Çin Komünist Partisine yönelik yaygın eleştirileri ve Çin başkanı Xi Jinping’in adını içerdiğini söyledi. Kontroller özellikle Bay Xi’nin adı etrafında sıkı. Listeler ayrıca diğer dillerdeki birkaç kelimeyi, özellikle Tibetçe Dalai Lama’ya yapılan referansları ve Uygurca Kuran’a yapılan referansları içeriyordu.
Dr. Knockel, “Bir düğmeye basarak sansürü açabilirler,” dedi.
Kate Conger raporlamaya katkıda bulundu.
Alıntıdır
Yeni bir rapora göre, sporcuların gelecek ay Çin’deyken sağlık ve seyahat verilerini bildirmek için kullanacakları zorunlu akıllı telefon uygulamasında, Pekin’in kullanmayı planladığı sistemler hakkında güvenlik sorularını gündeme getiren yeni bir rapora göre ciddi şifreleme kusurları bulunuyor. Covid-19 salgınlarını takip edin.
Toronto Üniversitesi siber güvenlik şirketi Citizen Lab tarafından hazırlanan rapora göre, uygulamanın koronavirüs test sonuçlarını, seyahat bilgilerini ve diğer kişisel verileri iletecek bölümleri, şifreli aktarımlarda kullanılan imzayı doğrulamadı veya verileri hiç şifrelemedi. bekçi köpeği. Grup ayrıca uygulamanın kodunda sansür için işaretlenmiş bir dizi siyasi terim içerdiğini, ancak listeyi iletişimleri filtrelemek için aktif olarak kullanmıyor gibi göründüğünü buldu.
Çin, sporcuları ve diğer katılımcıları büyük Çin nüfusundan ayrı tutarak Covid-19’un yayılmasını kontrol etmeye çalışacak bir Kış Olimpiyatları için son planlama aşamalarına girdi. MY2022 adlı uygulama, bu önlemleri desteklemek için tasarlandı ve herhangi bir salgın durumunda hükümet ve katılımcılar arasındaki elektronik bağlantıların iz ile iletişim kurmasını sağladı. Salgın durumunda nüfus hareketlerini kontrol etmek için kullanılan daha geniş bir uygulama tabanlı sağlık kodları sistemine benziyor.
Uygulamayla ilgili yeni endişeler, dünyanın en gelişmiş gözetleme ve sansür sistemlerinden birine sahip olan Çin’deki Oyunlar sırasında sansür ve gözetlemeyle ilgili daha geniş endişelerin altını çiziyor. Yetkililer, sporculara Facebook, Google ve Twitter gibi sitelerdeki yaygın engellemeleri aşmalarını sağlayacak hücresel hizmetler verileceğini söyledi.
Citizen Lab raporunda, güvenlik açıklarını 3 Aralık’ta Pekin Organizasyon Komitesi’ne açıkladığını ancak herhangi bir yanıt almadığını söyledi. Yazılımda Ocak ayında yapılan bir güncelleme, uygulamayı büyük olasılıkla Çin’in yeni yürürlüğe giren kişisel veri koruma yasalarını ve ayrıca Google ve Apple mağazalarında bir uygulamayı listelemek için gereken gizlilik politikalarını ihlal eden sorunları çözmedi.
Apple ve Google, yorum taleplerine hemen yanıt vermedi.
Eksik veya var olmayan şifreleme gibi sorunlar, uzun süredir tüketici verilerini koruma ve aynı zamanda devlet sansürleri ve gözetimi ile paylaşma gibi zorlu çifte görevle görevlendirilen Çin teknoloji endüstrisini rahatsız ediyor.
Çin hükümeti, Covid-19 pandemisinin ilk günlerinden itibaren salgınları kontrol etmek ve vakaların görüldüğü şehirlerde kilitli olan insanları izlemek için uygulama tabanlı izlemeye güveniyordu. Zaman zaman, bu tür sistemler güvenli veya şeffaf olmaktan daha az olmuştur. 2020’de Alibaba tabanlı izleme yazılımı, kişisel verileri kullanıcıları uyarmadan hemen yerel polise ifşa etti.
Koronavirüs maruziyetlerini izleyen uygulamalar güvenlik açıklarıyla dolu. Birçok ülke, koronavirüsün yayılmasına ayak uydurmak için bu uygulamaları aceleyle çıkardı, ancak daha sonra zayıf güvenlik uygulamalarını ele almak için çabaladı. İnsan hakları grupları, bu uygulamaların tasarımındaki kusurların insanları dolandırıcılık, kimlik hırsızlığı veya kapsamlı hükümet takibi riskine soktuğu ve halkın sağlık girişimlerine olan güvenini sarsabileceği konusunda uyardı.
Nisan 2020’de Norveç, Smittestopp veya “enfeksiyonu durdur” adlı bir akıllı telefon uygulamasını tanıttı ve bu uygulama, koronavirüse yakalanmış diğer kullanıcılarla temasa geçmeleri durumunda kullanıcıları uyardı. Ancak o Haziran ayına kadar, veri koruma düzenleyicileri, yoğunlaştırılmış gözetim risklerinin, uygulamanın kanıtlanmamış halk sağlığı yararlarından daha ağır bastığına dair endişelerini dile getirmişti. Ertesi ay, ülkenin veri gözlemcisi uygulamaya geçici bir yasak getirdi.
2021 Tokyo Olimpiyatları’na hazırlanırken Japonya, yabancı ziyaretçileri takip edecek bir kişi izleme uygulaması geliştirmeye çalıştı, ancak endişeler hızla yazılımdaki hatalara ve tüm ziyaretçilerin uygulamayı yükleyecekleri akıllı telefonlara sahip olup olmayacağına takıldı.
Citizen Lab raporu, MY2022’nin veri aktardığı sunucuyla benzersiz bir şifreleme imzasını doğrulayamadığını söyledi. Aslında bu, bilgisayar korsanlarının Çinli yetkililerin bilmeden verileri ele geçirebileceği anlamına geliyordu. Uygulamanın yerleşik mesajlaşma servisi gibi diğer kısımları, meta verileri şifreleyemedi ve kablosuz ağ veya telekom sahiplerinin hangi telefonun başka bir telefona ve ne zaman mesajlaştığını algılamasını kolaylaştırdı.
Citizen Lab araştırma görevlisi ve raporun yazarlarından biri olan Jeffrey Knockel, “Özellikle bir kafe veya otel Wi-Fi hizmeti gibi güvenilmeyen bir ağdaysanız, ilettiğiniz tüm bilgiler ele geçirilebilir” dedi. Dr. Knockel, bu şekilde kaldırılan hassas bilgilerin kimlik hırsızlığı için kullanılabileceğini de sözlerine ekledi.
Güvenlik açıklarının kasıtlı olup olmadığı net değil, ancak rapor, uygun şifrelemenin Çin’in her yerde bulunan çevrimiçi gözetim araçlarından bazılarına, özellikle de yerel yetkililerin halka açık kablosuz ağları veya internet kafeleri kullanan telefonları gözetlemelerine izin veren sistemlere müdahale edebileceğini belirtti. Yine de, araştırmacılar kusurların muhtemelen kasıtlı olduğunu ekledi, çünkü hükümet zaten uygulamadan veri alıyor olacak, bu nedenle aktarılırken verileri kesmeye gerek kalmayacak.
Dr. Knockel, “Uygulamayı kullanırken zaten doğrudan Çin hükümetine veri gönderiyorsunuz” dedi.
Uygulama ayrıca, kodda “yasadışı kelimeler” olarak tanımlanan 2.422 siyasi anahtar kelimenin bir listesini de içeriyordu. Citizen Lab’e göre, anahtar kelime sansür listesi olarak çalıştı. Araştırmacılar, listenin, uygulamanın sohbet ve dosya aktarım işlevinin aktif olarak kullanmadığı gizli bir işlev gibi göründüğünü söyledi.
Sansürlü kelimelerin listeleri Çin sosyal medya uygulamalarında yaygındır ve istenmeyen siyasi konuların yayılmasını önlemek için tasarlanmış çok katmanlı bir sansür sisteminde ilk savunma hattı olarak çalışır.
Citizen Lab, kelime listesinin çoğunlukla Tiananmen Meydanı katliamına atıfta bulunan Çince terimleri, Çin Komünist Partisine yönelik yaygın eleştirileri ve Çin başkanı Xi Jinping’in adını içerdiğini söyledi. Kontroller özellikle Bay Xi’nin adı etrafında sıkı. Listeler ayrıca diğer dillerdeki birkaç kelimeyi, özellikle Tibetçe Dalai Lama’ya yapılan referansları ve Uygurca Kuran’a yapılan referansları içeriyordu.
Dr. Knockel, “Bir düğmeye basarak sansürü açabilirler,” dedi.
Kate Conger raporlamaya katkıda bulundu.
Alıntıdır