Всех участников Олимпиады 2022 в Китае (спортсменов и зрителей) обязывают использовать специальное приложение MY2022. В нём хранятся паспортные данные, медицинская информация и история перемещений.
Также в приложении есть мессенджер для общения с другими пользователями.
Специалисты по кибербезопасности из Citizen Lab нашли в приложении две уязвимости, которые позволяют получить удалённый доступ к вышеперечисленной информации. В коде приложения не предусмотрена проверка SSL-сертификатов и шифрование данных.
Злоумышленники могут относительно легко создать поддельный SSL-сертификат и подключиться к приложению, выступая в роли хоста. А из-за отсутствия какого-либо шифрования, в пределах одной сети Wi-Fi можно перехватывать информацию, отправляемую приложением на сервера.
В версии MY2022 для Android был найден скрытый файл со списком запрещённых слов. Считается, что они подвергаются политической цензуре в Китае, однако применения этому файлу никакого нет. [9to5Mac]
Источник:
