Hay preocupaciones de privacidad para los miles de extranjeros en Beijing para los Juegos Olímpicos de Invierno de 2022 después de que el grupo de investigación canadiense Citizen Lab revelara vulnerabilidades en una aplicación que maneja información de salud confidencial y que el gobierno chino requiere para cualquier persona involucrada en los juegos.
La aplicación My 2022 fue diseñada por el comité organizador de Beijing como una guía experiencial todo en uno para el personal local de los Juegos Olímpicos, los atletas globales, sus séquitos, la prensa y los administradores. Aquellos que viajaran al “circuito cerrado” de lugares debían descargar la aplicación 14 días antes de la llegada y enviar información de identificación personal junto con cualquier prueba de COVID-19 que hayan realizado, estado de vacunación y autoevaluaciones de su salud.
Citizen Lab descubrió que la aplicación no valida los certificados de encriptación SSL que recibe de algunos de sus hosts, lo que permite a los actores malintencionados falsificar nombres de host y redirigir información confidencial lejos de los servidores legítimos y hacia sus manos. En un ejemplo dado de “health.customsapp.com”, un cliente podría enviar su pasaporte y datos de salud al servidor. Además, algunas conexiones ni siquiera tienen encriptación bajo SSL o cualquier otro estándar. Una de esas vías es “tmail.beijing2022.cn”, que presumiblemente se ocupa de las comunicaciones, las identidades de los participantes y los archivos adjuntos. El desvío de datos de intermediarios puede ocurrir en redes no seguras o privadas con operadores sin escrúpulos.
Estos hallazgos se verificaron con las versiones 2.0.0 y 2.0.5 de la aplicación iOS My 2022 hasta mediados de enero y se entiende que también son aplicables al lado de Android . Las fallas reportadas no solo pondrían a My 2022 y Beijing en contra de los términos de privacidad de Apple y Google, sino también con una serie de estándares y reglas en la propia Ley de Ciberseguridad de China de 2016.
¿Otra preocupación común conocida en el país? Censura. La aplicación presenta un documento de texto con más de 2400 palabras y frases en chino simplificado y tradicional, inglés, tibetano y uigur que cubren insultos obscenos a religiones prohibidas y asuntos políticos como el Islam, el Dalai Lama y la represión étnica en curso en Xinjiang. . Sin embargo, la lista no parece usarse como parte de ningún guión de censura en este momento. Sin embargo, hay una función de informes que permite a los usuarios denunciar a otros por su discurso político. Citizen Lab dice que es una característica común para las aplicaciones en China, pero podría abrir el potencial para el abuso de censura en un contexto global.
Si bien siempre existe la posibilidad de que estos lapsos se hayan cometido intencionalmente, el grupo de investigación respalda la hipótesis de que la política de censura de China ha llevado a diferentes niveles de implementación de SSL en diferentes puntos de acceso, como en el ISP o en un café, y que la exclusión de la aplicación de SSL para llegar a ciertos hosts puede garantizar que se realicen esas conexiones.
Probablemente no vayas a ver los juegos de este año en persona, por lo que no tendrías motivos para descargar My 2022. Pero en caso de que necesites ayuda para resistir la tentación: simplemente no lo hagas.
Leave a Reply