My2022: Chuyên gia cảnh báo ứng dụng Olympics Bắc Kinh chứa rủi ro bảo mật

• Sophie Williams & Frances Mao
• BBC News

Các nhà phân tích cảnh báo rằng ứng dụng Thế vận hội Mùa đông Bắc Kinh mà tất cả những người tham dự sự kiện thể thao này đều phải sử dụng có chứa các điểm yếu về bảo mật, khiến người dùng có thể bị vi phạm dữ liệu.

Ứng dụng My2022 sẽ được các vận động viên, khán giả và các phóng viên sử dụng để giới chức giám sát tình hình Covid hàng ngày.

Ứng dụng cũng sẽ gồm các dịch vụ nói chuyện voice chat, gửi files và tin tức về Olympics.

Nhưng nhóm an ninh mạng Citizen Lab cho biết ứng dụng không thực hiện mã hóa trên nhiều file.

Báo cáo được đưa ra cùng lúc với việc đang có những cảnh báo ngày càng gia tăng về việc đảm bảo an ninh công nghệ cho khách tới dự Olympics trước khi Thế vận hội khai mạc vào ngày 4/2 tới đây.

Những người tham dự Thế vận hội Bắc Kinh nên mang theo điện thoại rẻ tiền, chỉ dùng riêng cho chuyến đi, và tạo tài khoản email cho thời gian ở Trung Quốc, nhiều chuyên gia đưa ra lời khuyên.

Tin cho hay một số quốc gia cũng đã yêu cầu các vận động viên để các điện thoại, thiết bị điện tử chính của họ ở nhà trước khi đến Trung Quốc.

Những quan ngại về kiểm duyệt

Các tác giả của báo cáo Citizen Lab cho biết họ cũng đã tìm thấy danh sách \”các từ khóa bị kiểm duyệt\” được tích hợp trong ứng dụng này, cùng một tính năng báo cáo – có thể được sử dụng để cảnh báo về các nội dung \”nhạy cảm chính trị\”.

Các nhà phân tích lưu ý rằng các tính năng và lỗi bảo mật này không phải là điển hình có trong các ứng dụng hoạt động ở Trung Quốc, nhưng chúng vẫn gây ra rủi ro cho người dùng.

Các nhà phân tích cho biết file \”các từ ngữ bất hợp pháp\” có vẻ như hiện không hoạt động, nhưng không chắc chắn lắm về chuyện này.

Một danh sách gồm 2.442 từ khóa cho thấy chúng chủ yếu liên quan đến chính trị, các từ ngữ chửi thề và các mặt hàng bất hợp pháp.

Hầu hết chúng này viết bằng tiếng Trung giản thể, nhưng cũng có một số từ viết bằng tiếng Tây Tạng, tiếng Uyghur và tiếng Anh.

Trong danh sách cũng có tên của các nhà lãnh đạo và cơ quan chính phủ Trung Quốc, và các tham chiếu đến vụ thảm sát người biểu tình ôn hòa tại Quảng trường Thiên An Môn hồi 1989, và nhóm tôn giáo Pháp Luân Công vốn bị cấm ở Trung Quốc.

Cả danh sách các từ khóa bị kiểm soát và nút báo cáo \’nội dung nhạy cảm\’ đều là những tính năng điển hình của nhiều ứng dụng được sử dụng hoặc phát triển ở Trung Quốc, các nhà phân tích nói. Tuy nhiên, nó có thể dẫn đến \”việc xóa bỏ một cách không minh bạch các nội dung và tình trạng báo cáo ác ý [về những người khác]\”.

Toàn bộ khác tới dự Thế vận hội phải tải ứng dụng xuống 14 ngày trước khi khởi hành đến Trung Quốc, và sử dụng nó để ghi lại trạng thái Covid hàng ngày của mình.

Du khách nước ngoài cũng cần tải lên những thông tin nhạy cảm vốn đã được nộp cho chính phủ Trung Quốc – như chi tiết hộ chiếu, lịch sử đi lại và hồ sơ sức khỏe cá nhân.

Citizen Lab cho biết các điểm yếu về đường truyền trong phần mềm của ứng dụng có thể dẫn đến việc dễ dàng bị tin tặc khai thác dữ liệu.

Các nhà phân tích lưu ý rằng ứng dụng không xác thực được bảo mật kỹ thuật số hoặc SSL, là các chứng chỉ xác nhận mức an toàn của các trang web chuyển tiếp, và một số dữ liệu được truyền đi mà không có bất kỳ bảo vệ hoặc mã hóa SSL nào.

Các nhà phân tích cảnh báo rằng những điểm yếu bị lộ ra có thể dẫn đến việc vi phạm luật bảo vệ quyền riêng tư của người tiêu dùng của Trung Quốc, cũng như các chính sách trên các cửa hàng apps của Google và Apple.

Các tác giả cũng viết rằng mặc dù các lỗ hổng được phát hiện là đáng lo ngại, nhưng chúng \”không đặc biệt đáng ngạc nhiên đối với các ứng dụng hoạt động ở Trung Quốc\”.