Mới nhất
Tiêu điểm
Bình luận
Share
Email
Canada: Ứng dụng cho VĐV Olympic có lỗi bảo mật và kiểm duyệt từ nhạy cảm
Một nghiên cứu mới của các nhà nghiên cứu Canada cho biết, một ứng dụng mà tất cả những người tham dự Thế vận hội Mùa đông Bắc Kinh 2022 phải sử dụng theo quy định có một lỗ hổng cho phép chức năng mã hóa dữ liệu nhạy cảm [của ứng dụng này] bị vô hiệu hóa. Theo nghiên cứu, ứng dụng này cũng kiểm duyệt các từ ngữ liên quan đến hành vi vi phạm nhân quyền của chính quyền Trung Quốc đối với các nhóm dân tộc thiểu số và nhóm tôn giáo.
Citizen Lab, một viện nghiên cứu an ninh toàn cầu tại Trường Munk về Các vấn đề Toàn cầu và Chính sách Công của Đại học Toronto, đã công bố nghiên cứu phân tích đánh giá ứng dụng có tên MY2022 hôm 18/01.
Tất cả những người tham dự Thế vận hội Mùa đông Bắc Kinh, bao gồm vận động viên (VĐV), khán giả, và ký giả được yêu cầu phải cài đặt ứng dụng này thì mới được tham dự Thế vận hội.
Lo ngại về việc rò rỉ dữ liệu người dùng
Trung Quốc yêu cầu tất cả những người tham dự Thế vận hội trong nước và quốc tế phải tải ứng dụng này về thiết bị của mình 14 ngày trước khi họ nhập cảnh vào đại lục. Mỗi ngày người dùng đều phải theo dõi và báo cáo tình trạng sức khỏe của họ thông qua ứng dụng này.
Báo cáo của Citizen Lab cho biết ứng dụng này — vốn thu thập dữ liệu công khai của người dùng và một loạt dữ liệu y tế có mức độ nhạy cảm cao — chứa một “lỗ hổng đơn giản nhưng nghiêm trọng”, cho phép chức năng mã hóa bảo vệ thông tin “dễ dàng bị phá vỡ”.
Nhà nghiên cứu Jeffrey Knockel viết: “MY2022 không xác thực được chứng chỉ số SSL, do đó không xác thực được nó đang gửi dữ liệu nhạy cảm, được mã hóa cho ai”.
“Việc không thể xác thực này có nghĩa là ứng dụng có thể bị đánh lừa để kết nối với máy chủ độc hại mà lại tưởng rằng đó là máy chủ đáng tin cậy, cho phép chặn thông tin mà ứng dụng truyền đến máy chủ,” ông viết và nói thêm rằng các lỗ hổng này tồn tại trong cả hai phiên bản dành cho iOS và Android của ứng dụng.
Những từ vựng bị kiểm duyệt
Mô tả của MY2022 trên App Store của Apple cho biết ứng dụng dành cho thiết bị di động này cung cấp nhiều chức năng giao tiếp như nhắn tin trực tiếp và các dịch vụ thông tin khác cho việc đi lại, lưu trú, và ăn uống.
Tuy nhiên, các nhà nghiên cứu của Citizen Lab đã phát hiện ra một tệp văn bản có tên là “legalwords.txt” đi kèm với phiên bản Android của MY2022, bao gồm danh sách hơn 2,400 từ khóa mà Đảng Cộng sản Trung Quốc (ĐCSTQ) cai trị nhìn chung coi là nhạy cảm về chính trị, viện này cho biết.
Trong số danh sách các từ khóa bị kiểm duyệt này có các cụm từ như “Pháp Luân Công”, “Đại hội Duy Ngô Nhĩ Thế giới”, “Tự do Tây Tạng”, và “Thảm sát Thiên An Môn” — những từ ngữ đề cập đến các nhóm dân tộc thiểu số và nhóm thiểu số tôn giáo bị ĐCSTQ đàn áp, cũng như những hành vi bạo tàn về nhân quyền mà chính quyền Trung Quốc đang phạm phải.
Danh sách này cũng bao gồm các thuật ngữ tiếng Trung về ấn phẩm The Epoch Times, và kênh truyền thông chi nhánh của hãng thông tấn này là Đài truyền hình Tân Đường Nhân (New Tang Dynasty Television).
Citizen Lab cho biết đáng chú ý là danh sách trên cũng bao gồm các tham chiếu trung lập đến tên của các nhà lãnh đạo đương nhiệm và tiền nhiệm của Trung Quốc cũng như tên của các cơ quan chính phủ.
Hầu hết các từ khóa bị cấm này được viết bằng tiếng Trung giản thể, với một phần nhỏ bằng tiếng Tây Tạng, Duy Ngô Nhĩ, tiếng Trung phồn thể, và tiếng Anh. Phần lớn các từ khóa đề cập đến nội dung khiêu dâm, chửi thề, và hàng hóa bất hợp pháp, những thứ cũng bị cấm trên các ứng dụng Trung Quốc khác mà Citizen Lab cho biết họ đã phát hiện trong các nghiên cứu trước đây.
Ông Knockel viết: “Các nền tảng internet hoạt động ở Trung Quốc được yêu cầu phải kiểm soát nội dung trao đổi qua các nền tảng của họ theo luật định nếu không sẽ phải đối mặt với các hình phạt”.
“Các định nghĩa mơ hồ về nội dung bị cấm thường được gọi là ‘tội bỏ túi’ (pocket crimes) ý nói các nhà chức trách có thể coi bất kỳ hành động nào là hành vi phạm tội. Những tội như vậy được chính quyền Trung Quốc sử dụng để hạn chế những biểu đạt về chính trị và tôn giáo trên mạng internet”.
Không phản hồi
Citizen Lab cho biết họ đã thông báo cho Ban tổ chức Olympic Mùa đông 2022 và Paralympic Mùa đông về các vấn đề an ninh của MY2022 vào ngày 03/12/2021. Cho đến ngày 18/01/2022, viện nghiên cứu này vẫn chưa nhận được phản hồi nào. Họ cũng lưu ý rằng các nhà phát triển ứng dụng này đã phát hành một bản cập nhật vào ngày 17/01/2022, nhưng các lỗ hổng bảo mật trên vẫn chưa được khắc phục.
Viện này nói thêm rằng Trung Quốc đã từng phá hủy công nghệ mã hóa để “thực hiện kiểm duyệt và giám sát chính trị” và nổi tiếng với việc khai thác “thông tin liên lạc mạng không được mã hóa để thực hiện các cuộc tấn công trung gian”.
Mặc dù điều này đặt ra câu hỏi về việc liệu chức năng mã hóa của MY2022 có bị “cố ý phá hoại cho mục đích giám sát hay không hay có phải lỗi đó sinh ra là do sơ suất của nhà phát triển,” báo cáo cho biết trường hợp cố ý phá hoại mã hóa của MY2022 là vấn đề nan giải, vì dữ liệu được thu thập thông qua ứng dụng trên đang được trực tiếp giao nộp cho chính quyền nước này.
“Mặc dù có thể lỗ hổng trong mã hóa thông tin hải quan y tế là thiệt hại ngoài dự kiến từ việc cố ý làm suy yếu mã hóa của các loại dữ liệu khác mà chính phủ Trung Quốc chủ tâm muốn ngăn chặn, nghiên cứu trước đây của chúng tôi cho thấy rằng khả năng bảo vệ dữ liệu người dùng yếu kém là bệnh đặc thù của hệ sinh thái ứng dụng Trung Quốc”.
“Mặc dù một số công trình nghiên cứu đã gán sự cố ý đó cho việc bảo mật phần mềm kém được phát hiện trong các ứng dụng của Trung Quốc, nhưng chúng tôi tin rằng tình trạng không bảo mật phổ biến như vậy ít có khả năng là kết quả của một âm mưu lớn của chính phủ mà là kết quả của một lời giải thích đơn giản hơn, chẳng hạn như các ưu tiên khác nhau cho các nhà phát triển phần mềm ở Trung Quốc”.
Andrew Chen là một phóng viên của The Epoch Times tại Toronto
Hồng Ân biên dịch
Quý vị tham khảo bản gốc từ The Epoch Times
Xem thêm:
