APP wajib untuk pengunjung Olimpik Musim Sejuk Beijing 2022 didapati tidak selamat

Sukan Olimpik Musim Sejuk edisi 2022 akan berlangsung di Beijing antara 4 Februari hingga 20 Februari 2021. Apa yang menariknya adalah tentang bagaimana penganjur memastikan COVID-19 tidak mengganggu perjalanan temasya sukan berprestij itu.

Semua orang yang menghadiri acara tersebut, daripada pengunjung hinggalah ke atlet diwajibkan untuk memasang APP khas yang dinamakan MY2022. Secara asasnya, APP ini adalah pusat sehenti untuk semua maklumat Olimpik Musim Sejuk Beijing 2022.

Berkaitan COVID-19, APP itu mewajibkan pengguna untuk berkongsikan pelbagai data seperti ujian harian COVID-19 dan sejarah perjalanan 14 hari sebelum mereka masuki sempadan China.

Yang tidak seronok adalah, ada sebuah makmal penganalisis bebas dari Kanada melaporkan bahawa APP ini terdapat kerentanan sehinggakan ia boleh dipintas oleh pihak yang ingin mengambil kesempatan melombong data untuk tujuan tidak baik.

Perkara ini penting kerana bukan sahaja maklumat COVID-19 dan perjalanan, APP itu turut memungut data peribadi sensitif seperti nombor passport dan sebagainya.

Citizen Lab mendapati yang komunikasi antara APP dengan pelayan walaupun menyokong SSL, pembangun tidak memasukkan fungsi pengesahan sijil SSL. Oleh sebab itu, data yang berpindah antara APP dengan pelayan boleh dipintas dengan cara pihak ketiga menggunakan cara spoof SSL bagi menipu APP yang ia sedang berkomunikasi dengan pelayan sebenar.

Hasilnya, semua data-data pergi ke pelayan pihak ketiga berbanding ke destinasi sepatutnya. Antara pelayan yang terlibat adalah seperti:

my2022.beijing2022.cn
tmail.beijing2022.cn
dongaoserver.beijing2022.cn
app.bcia.com.cn
health.customsapp.com

Selain masalah data tidak disulitkan, penganalisis turut mengesan terdapat fungsi menapis kata kunci tertentu yang kebanyakannya dilihat sebagai yang sensitif terhadap kerajaan China. Kata kunci yang termasuk dalam senarai adalah seperti: