2022年2月4日金曜日

お粗末官庁etc

北京冬季オリンピックに出場する選手や出席者は中国へ入国する14日前に
MY2022という公式アプリをスマートフォンにインストールすることが義務づけられている
MY2022はワクチン接種状況や健康状態をモニタリングしてCOVID-19の広がりを抑制するという目的に加え
現地のイベントや天気、関心のある物事に関する情報を提供するハブとして機能するように設計されている・・・
ところが、MY2022をリバースエンジニアリングしたセキュリティ研究者が

GitHub - jonathandata1/2022_beijing: Decompiled 2022 Beijing iOS & Android Apps
https://github.com/jonathandata1/2022_beijing
Mandatory Olympics iOS and Android apps are spying on athletes for China | AppleInsider
https://appleinsider.com/articles/22/01/28/mandatory-olympics-ios-and-android-apps-are-spying-on-athletes-for-china
Beijing spy games: watch out for the application of the Olympics! - The Switzerland Times
https://www.theswitzerlandtimes.com/beijing-spy-games-watch-out-for-the-application-of-the-olympics/

MY2022について分析したトロント大学の学際的研究機関Citizen Lab
MY2022にはセキュリティ上の欠陥があり、ユーザーの音声や転送ファイルを保護する暗号化が簡単に回避されてしまう
また、Android版のMY2022には新疆ウイグル自治区やチベット、政治、犯罪、ポルノ、宗教などに関する2422語の検閲用のワードリストが含まれていた
なお、調査時点では検閲用キーワードリストは利用されていなかったそう

そんな中、アメリカのセキュリティ研究者であるジョナサン・スコット氏
MY2022をリバースエンジニアリングして分析した結果をTwitterやGitHubで報告
「逆コンパイルされた2022年オリンピック用のiOSおよびAndroidアプリがGitHubで利用可能になりました。AppleのApp Storeでは『データ収集なし』と主張しているにもかかわらず、中国によるデータ漏えいの証拠があります。このリポジトリは、私がリリースする完全なレポートと直接関係しています」
2022/1/22の時点ではApp StoreのMY2022ページにおいて
Data Not Collected(データ収集なし)と記されていたものの
1/24には連絡先情報を収集するという表記に変わっていた
「全てのオリンピック選手の音声が収集され、分析され、中国のサーバーに保存されていると断言できます」
このプロセスには中国の国営音声認識AI企業・iFlytekの技術が使われている
iFlytekは中国国内のイスラム教徒弾圧に関与しているとして、アメリカ政府によってブラックリストに登録されてる

アプリユーザーが同意するプライバシーポリシーにも
音声情報やスマートフォンにインストールされたアプリの情報が
iFlytekによって収集されると記されている
しかし、App Storeのページではこれが明記されていない
MY2022はスマートフォンの脆弱性などを突いてバックグラウンドで動作するのではなく
マイクにアクセスするためにフォアグラウンドの状態を維持する仕組みになっている
また、Android版のMY2022では、カレンダー・カメラ・連絡先・マイク・ストレージなどへのアクセス許可のほか
ファイルのダウンロードやスクリーンロックの解除についての許可を求める可能性がある
マックス氏
「残念ながらGoogleは、あなたのデバイスに永続的なバックドアを作ることをMY2022アプリに許可しました」

中国によるスパイ活動への懸念から、以前からオランダはスマートフォンやPCを中国へ持ち込まないよう選手に要請していたほか
アメリカやカナダも自前のスマートフォンを使うのではなく、プリペイド式や使い捨てのデバイスを使うように推奨

そんな中
JOC
2022/1/13JOC広報部の担当者
「過去の大会同様、選手個人のデバイスへの規制は特にない」
「現時点で、対応を検討する考えには至っていない。今後は状況をみていく」

で 2022/2/2松野官房長官
北京オリンピックで健康状態を管理する専用アプリをめぐり、情報の抜き取りなどへの懸念が広がっていることについて
JOC=日本オリンピック委員会を通じて選手側に対し
・・・つまり
大会中のダダ漏れは・・・

具体的にはアプリは必要最小限の使用にとどめ
帰国後は速やかに削除する
アプリを導入する端末を別途用意するのが望ましい
さらに違和感があった場合は速やかに内閣サイバーセキュリティセンターなどに連絡してほしい

・・・一度インストールすると
作られたバックドアは
アンインストールしようが
生きてることも?

何の為のデジタル庁?
せきゅりてぃ~は無視?関係ない?
自衛隊まかせ?
まあ、能力の無い、お役所なんで

今日は~
クジャクシダ/Adiantum pedatum
オウレンシダ/Dennstaedtia wilfordii
イワガネゼンマイ/ Coniogramme intermedia
イワホウライシダ/Adiantum ogasawarense

1月末
今までは冬に消えてたイワガネゼンマイ
クジャクシダが緑を保ってる
イワホウライシダが生きてるかは?



0 件のコメント:

コメントを投稿