TORONTO — Para peneliti di laboratorium teknologi yang berbasis di Toronto telah menemukan kerentanan keamanan dan kerangka kerja sensor dalam aplikasi yang harus digunakan oleh semua peserta Olimpiade Beijing 2022.
The Citizen Lab, sebuah lembaga penelitian di Munk School of Global Affairs and Public Policy Universitas Toronto yang mempelajari spyware, menemukan kelemahan “sederhana namun menghancurkan” di aplikasi MY2022 yang membuat file audio, formulir kesehatan dan bea cukai mengirimkan detail paspor, dan riwayat medis dan perjalanan rentan terhadap peretas.
Peneliti Jeffrey Knockel menemukan MY2022 tidak memvalidasi beberapa sertifikat SSL, infrastruktur digital yang menggunakan enkripsi untuk mengamankan aplikasi dan memastikan tidak ada orang yang tidak berwenang yang dapat mengakses informasi saat dikirimkan.
Kegagalan untuk memvalidasi ini berarti aplikasi dapat ditipu untuk terhubung dengan host jahat yang keliru dipercaya, memungkinkan informasi yang dikirimkan aplikasi ke server untuk dicegat dan penyerang menampilkan instruksi palsu kepada pengguna.
“Skenario kasus terburuk adalah seseorang mencegat semua lalu lintas dan merekam semua detail paspor, semua detail medis,” kata Knockel, rekan peneliti, yang menyelidiki aplikasi tersebut setelah seorang jurnalis yang penasaran dengan fungsi keamanannya mendekatinya.
Penyelenggara Olimpiade telah mewajibkan semua peserta pertandingan, termasuk atlet, penonton, dan anggota media, untuk mengunduh dan mulai menggunakan aplikasi MY2022 untuk mengirimkan informasi kesehatan dan bea cukai seperti hasil tes COVID-19 dan status vaksinasi setidaknya 14 hari sebelum kedatangan mereka di Tiongkok.
Aplikasi dari perusahaan milik negara bernama Beijing Financial Holdings Group juga menawarkan navigasi GPS dan fungsi obrolan teks, video dan audio dan kemampuan untuk mentransfer file dan memberikan pembaruan berita dan cuaca.
Knockel merasa tidak jelas dengan siapa aplikasi tersebut membagikan informasi medis yang sangat sensitif.
Buku pedoman Olimpiade menguraikan bahwa data pribadi seperti informasi biografi dan data terkait kesehatan dapat diproses oleh Beijing 2022, komite Olimpiade dan Paralimpiade Internasional, otoritas Tiongkok, dan “orang lain yang terlibat dalam penerapan penanggulangan (COVID-19).”
Knockel mengatakan MY2022 menguraikan beberapa skenario di mana ia akan mengungkapkan informasi pribadi tanpa persetujuan pengguna, yang mencakup namun tidak terbatas pada masalah keamanan nasional, insiden kesehatan masyarakat, dan investigasi kriminal.
Namun, aplikasi tidak menentukan apakah perintah pengadilan akan diperlukan untuk mendapatkan akses ke informasi ini dan siapa yang berhak menerima data.
Kekhawatiran terakhir yang ditemukan Knockel adalah bahwa aplikasi tersebut memungkinkan pengguna untuk melaporkan konten yang “sensitif secara politis” dan ternyata memiliki daftar kata kunci sensor.
Daftar tersebut mencakup 2.442 istilah politik, termasuk beberapa yang terkait dengan ketegangan di Xinjiang dan Tibet, serta referensi ke lembaga pemerintah China. Dalam daftar tersebut terdapat frase Cina yang diterjemahkan menjadi “Yahudi adalah babi” dan “Cina adalah semua anjing,” istilah Uyghur untuk “Al-Qur’an” dan kata-kata Tibet yang mengacu pada Dalai Lama.
Knockel tidak dapat menemukan bukti bahwa daftar tersebut digunakan oleh aplikasi.
“Kami tidak tahu apakah mereka bermaksud membuatnya tidak aktif atau apakah mereka bermaksud untuk mengaktifkannya, tetapi bagaimanapun juga, itu adalah sesuatu yang …. dapat diaktifkan dengan menekan tombol,” kata Knockel.
Citizen Lab mengungkapkan kekhawatiran yang ditemukannya dengan MY2022 kepada panitia penyelenggara pada 3 Desember, memberi mereka waktu 15 hari untuk merespons dan 45 hari untuk memperbaiki masalah, sebelum mengumumkan masalah tersebut kepada publik.
Versi baru MY2022 untuk pengguna iOS dirilis pada 6 Januari, tetapi Citizen Lab mengatakan tidak ada masalah yang diselesaikan dengan pembaruan tersebut. Faktanya, Citizen Lab mengatakan pembaruan memperkenalkan fitur “Kode Kesehatan Hijau” baru yang mengumpulkan lebih banyak data medis dan rentan terhadap serangan karena kurangnya validasi sertifikat SSL.
Knockel merekomendasikan siapa pun yang menuju Olimpiade hanya menggunakan aplikasi saat terhubung ke jaringan yang mereka percayai, seperti jaringan pribadi virtual (VPN).
Peserta Olimpiade juga harus mempertimbangkan untuk melakukan percakapan dan tindakan lain yang tidak wajib diselesaikan di MY2022 ke aplikasi lain dengan keamanan yang lebih baik, katanya.
“Tapi ribet,” katanya. “Bahkan jika mereka mengetahui kerentanan keamanan di aplikasi, mereka mungkin tidak punya pilihan.”
Laporan oleh The Canadian Press ini pertama kali diterbitkan 18 Januari 2022
Posted By : angka keluar hk