2022年2月4日から2月20日までの17日間開催される冬季五輪北京大会の出場選手全員に利用が義務付けられているスマホ用の健康管理アプリ「MY2022」に、セキュリティー上の欠陥があることが分かりました。アプリ「MY2022」は、パスポートの詳細、医療データ、旅行履歴などの機密性の高い個人データを収集します。18日にカナダの研究者(Citizen Lab)らが報告書を公表しました。また、Android版には検閲用キーワードのリスト「illegalwords.txt」が組込まれていました。
- Cross-country Exposure: Analysis of the MY2022 Olympics app(1/18 citizenlab.ca)
- 北京五輪の選手用アプリに欠陥、暗号化が不適切=カナダ研究者(1/19 ロイター)
北京金融控股集团有限公司が製作した「MY2022」のコードには、2つのセキュリティホールがあることが明らかになりました。Pegasus(スパイウェア)によって侵害された電話を特定する上でも重要な役割を果たした CitizenLabが分析を実施しました。
1つは、ユーザーの音声ファイルやファイル転送を保護する暗号化が、簡単に回避できる点です。また、パスポート情報、人口統計学的情報、ヘルスケアデータ、渡航歴などを送信する健康診断書にも脆弱性が見つかり、サーバー応答が偽装され、攻撃者がユーザーに偽の指示を表示することが可能とのことです。
もう1つの欠陥は、MY2022が一部の機密データを暗号で保護せずに送信するという点です。暗号化されていないデータには、メッセージの送信者と受信者の名前、ユーザーアカウントの識別子などプライバシー性の高いデータが含まれ、安全性の低い無線LANに接続している人やプロバイダなどから容易に盗み取ることができる状態になっていました。
Citizen Labは、「MY2022」がユーザー情報をどんな組織と共有するかが、「プライバシーポリシーに明記されていない」ことも指摘した上で、「Google Playのポリシー」や「App Storeのガイドライン」に違反しているおそれがあるため、今後両社により何らかの対応が行われる可能性があると考えています。」と述べています。
Citizen Labは、今回の分析結果を2021年12月に北京五輪大会組織委員会に報告しましたが、回答は得られませんでした。一方、国際オリンピック委員会(IOC)は、海外ニュースメディア・Axiosの取材に対し「当該アプリに関する2つの独立した第三者評価を実施した結果、重大な脆弱性は含まれていませんでした」と回答した上で、「私たちは Citizen Labの懸念をより深く理解するため、さらなるレポートを要請しました」と述べています。IOCはロイターの問合せに「MY2022の携帯電話へのインストールは義務ではない」と回答しています。
さらに「MY2022」のAndroid版には、中国で政治的とされる検閲キーワード2,442個のリスト「illegalwords.txt」も付随していました。検閲キーワードのほとんどは簡体字中国語で、残りは繁体字中国語、チベット語、ウイグル語、英語です。リストには国家主席 習近平氏の名前である「习近平」や、「中国共産党は悪」という意味の「中共邪恶」、六四天安門事件を示す複数の単語などのほか、犯罪やポルノ、宗教に関する用語が列記されています。
現行バージョンのアプリでは「検閲」は機能していないとのことです。ただし、完全に使用を廃止したのか? それとも、一時的に使わないようにしているだけなのかは不明としています。
- https://github.com/citizenlab/chat-censorship/blob/master/olympics/illegalwords.txt
- Cross-country Exposure: Analysis of the MY2022 Olympics app(1/18 By Jeffrey Knockel / CitizenLab)
