Исследователь безопасности Джонатан Скотт проанализировал код приложения MY2022, которое сделали обязательным к установке всеми спортсменами и гостями Зимней Олимпиады в Пекине. Как оказалось, обе его версии — для iOS и Android — собирают с пользовательских смартфонов аудио и отправляют для обработки на китайские серверы, пишет AppleInsider.
Приложение призвано помешать распространению коронавируса в период проведения игр и будет служить единым центром информации о мероприятиях, погоде, транспорте и достопримечательностях.
На странице приложения в App Store не говорится, что оно записывает аудио, но Скотт продемонстрировал, что это так. И дело даже не в эксплойтах или уязвимостях безопасности: приложение просто ведёт активную прослушку того, что происходит вокруг пользователя, и отправляет записи на серверы, находящиеся в Китае. По словам Скотта, приложение способно само давать себе необходимые для этого разрешения из фонового режима.
В приложении применяются технологии местного стартапа по распознаванию речи iFlytek. В 2019 году он попал в американский «чёрный список» технокомпаний за причастность к ущемлению уйгуров в Китае.
New York Times ранее сообщал, что канадские эксперты из Citizen Lab нашли у приложения серьёзные недочёты, связанные с шифрованием пользовательских данных (например о результатах тестов на коронавирус, о местоположении и других персональных данных), которые позволяют хакерам легко перехватить их.
Ранее власти Нидерландов настоятельно рекомендовали своим атлетам и их командам не брать с собой личные гаджеты — взамен им должны были выдать другие, специально для использования во время игр. Аналогичные меры предосторожности предприняли США, Австралия и другие страны.
Источник: https://dev.by/news/mandatory-olympics-app-spying-on-athletes-china
