image205

来月4日に開催される北京冬季五輪。国内外メディアによると、参加全員に義務付けられているという中国国有企業製iPhoneおよびAndroid用アプリ「MY2022」に関して、通信内容が暗号化されておらず、特定の言葉が使うことができないなど検閲リストが搭載されていることが明らかになりました。

2022年2月に開催される北京オリンピックで、参加者全員に対してインストールが義務づけられている健康管理アプリ「MY2022」に、機密情報へのハッキングが容易に可能になるようなセキュリティー上の欠陥があることが、カナダのセキュリティ研究者の分析により判明しました。MY2022には、暗号化の不具合だけでなく政治的なキーワードの検閲に関連するデータも搭載されていたとのことです。

ギガジン
昨年行われた東京オリンピックでも選手を管理するようなアプリがあったような気がするのですが、このMY2022は記事によると「オリンピック選手らの新型コロナウイルスワクチン接種情報などの収集を目的に、北京金融控股集団が開発しだものだ」と説明されています。

このアプリは選手全員にダウンロードとインストールが義務付けられているというもので入国14日前に入れることが求められ、毎日その内容を中国当局に知らせる義務があります。

しかし、このアプリ、通信内容がSSLという規格で暗号化されておらず知識がある人ならば送信されたデータを横取りして内容を改竄したり読み取られる可能性があるとのこと。
これは技術的な問題でできなかった可能性があるのですが、もう一つこのデータが暗号化されていないことで例えば安全性の低いネットワーク内にこのスマホを接続して通信した場合、そのデータの送り主やユーザーアカウントが容易に盗み取られる可能性があるとしています。

加えて、Android版にのみ搭載されているというもので、英語ではなく、大半が中国語で習近平氏の名前である「习近平」や、「中国共産党は悪」という意味の「中共邪恶」という言葉が使えないようになっていたとのこと。しかしどのような訳か、最新のバージョンではこの検閲ワードが廃止されているとしています。

この検閲ワードは意図したものと考えられるのですが、通信内容が外に漏れ出すというものについては意図したものではない可能性があり、これについては今後対応されるものと考えられます。

ちなみにそれ以外に何が入っているのかは不明であり、興味本意でインストールはしないことをオススメします。
このエントリーをはてなブックマークに追加