My2022 앱은 선수, 관중 및 미디어가 일일 코로나 모니터링에 사용할 것입니다.
이 앱은 음성 채팅, 파일 전송 및 올림픽 뉴스도 제공합니다.
그러나 사이버 보안 그룹인 Citizen Lab 은 앱이 많은 파일에 암호화를 제공하지 못한다고 말합니다.
보고서의 발표는 2월 4일에 시작되는 올림픽을 앞두고 방문객의 기술 보안에 대한 경고가 증가한 것과 일치합니다.
베이징 올림픽에 참가하는 사람들은 버너폰을 가져와서 중국에서 보낼 이메일 계정을 만들어야 한다고 다양한 전문가들이 조언했습니다.
몇몇 국가에서는 선수들에게 중국에 도착하기 전에 주요 기기를 집에 두고 오라고 지시한 것으로 알려졌습니다.
검열 우려
Citizen Lab 보고서의 작성자는 앱에 내장된 "검열 키워드" 목록과 다른 "정치적으로 민감한"
표현에 플래그를 지정하는 데 사용할 수 있는 보고 기능도 발견했다고 말했습니다.
분석가들은 이러한 기능과 보안 결함이 중국에서 작동하는 앱에 비정상적이지는 않지만 그럼에도 불구하고 사용자에게 위험을 초래한다고 지적했습니다.
분석가들은 "불법 단어" 파일이 현재 비활성화된 것으로 보이지만 명확하지 않다고 말했습니다.
2,442개의 키워드 목록을 보면 주로 정치 관련이거나 욕설 및 불법 물품을 언급하는 것으로 나타났습니다. 대부분 중국어 간체로 되어 있었지만 일부는 티베트어, 위구르어, 영어로도 제공되었습니다.
이 목록에는 중국 지도자와 정부 기관의 이름은 물론 1989년 천안문 광장에서 민주화 시위대를 살해한 사건과 중국에서 금지된 종교 단체인 파룬궁에 대한 언급이 포함되어 있습니다.
분석가들은 목록과 보고 버튼 모두 중국에서 사용되거나 개발된 많은 인기 앱의 전형적인 기능이라고 말했습니다. 그러나 이는 "[타인의] 불투명한 콘텐츠 제거 및 악의적인 보고"로 이어질 수 있습니다.
대회를 방문하는 모든 방문객은 중국으로 출발하기 14일 전에 앱을 다운로드하여 매일 코로나바이러스 상태를 기록해야 합니다.
외국인 방문객의 경우 여권 정보, 여행 및 의료 기록과 같이 이미 중국 정부에 제출된 민감한 정보도 업로드해야 합니다.
Citizen Lab은 앱 소프트웨어의 전송 약점이 표적이 될 경우 해커가 데이터를 쉽게 악용할 수 있다고 말했습니다.
분석가들은 앱이 디지털 보안 또는 SSL, 전달 사이트 인증서의 유효성을 검사하지 못하고 일부 데이터가 SSL 보호나 암호화 없이 전송되었다고 지적했습니다.
분석가들은 노출된 취약점이 중국의 소비자 개인정보 보호법과 Google 및 Apple 앱 스토어의 정책을 촉발할 수 있다고 경고했습니다.
저자는 또한 발견된 결함이 우려되지만 "중국에서 작동하는 앱에 대해 특별히 놀라운 것은 아니다"라고 썼습니다.
저자는 "My2022가 암호화를 수행하는 방식에서 눈에 띄고 쉽게 발견할 수 있는 보안 문제를 발견했지만 중국에서 개발한 Zoom과 가장 인기 있는 중국 웹 브라우저에서도 유사한 문제를 관찰했습니다"라고 썼습니다.