Ứng dụng Olympic Bắc Kinh 2022 gây tranh cãi về vấn đề bảo mật

An toàn thông tin - Ngày đăng : 13:45, 19/01/2022

Cơ quan nghiên cứu bảo mật Citizen Lab đã phát hiện một số lỗi liên quan đến vấn đề bảo mật và quyền riêng tư trong ứng dụng Thế vận hội My2022 sẽ được các vận động viên (VĐV) tham gia thế vận hội Olympic Bắc Kinh 2022 sử dụng. Thế vận hội sẽ bắt đầu tranh tài từ 4/2/2022.

Theo đó, kết quả của một báo cáo do Citizen Lab - cơ quan nghiên cứu về bảo mật trực thuộc Đại học Toronto thực hiện cho biết, ứng dụng My2022 mà các VĐV tham gia Olympic sắp tới phải sử dụng tại Trung Quốc để thông báo dữ liệu đi lại và dữ liệu sức khỏe có một số lỗi bảo mật nghiêm trọng.

Chi tiết hộ chiếu, thông tin nhân khẩu học và lịch sử y tế/du lịch trong các biểu mẫu hải quan y tế có thể dễ bị tấn công. Các phản hồi của máy chủ có thể bị giả mạo, cho phép kẻ tấn công hiển thị các hướng dẫn giả cho người dùng.

Báo cáo đã gây ra nhiều tranh cãi, vì hàng nghìn người tham gia thi đấu Olympic sẽ không có lựa chọn nào khác ngoài việc tải và sử dụng ứng dụng nếu muốn đại diện thi đấu cho quốc gia của họ.

Chia sẻ với ZDNet về vấn đề này, Ủy ban Olympic Quốc tế (IOC) đã lên tiếng bảo vệ ứng dụng và hạ thấp mức độ nghiêm trọng của các vấn đề do Citizen Lab phát hiện.

Một phát ngôn viên đã biện minh cho các lỗ hổng bảo mật của ứng dụng này bằng lý do do đại dịch COVID-19, "các biện pháp đặc biệt" cần được đưa ra để bảo vệ những người tham gia Olympic Bắc Kinh 2022 và người dân Trung Quốc.

Ứng dụng My2022 được thiết kế để hỗ trợ chức năng theo dõi sức khỏe và truy vết tiếp xúc trong trường hợp xảy ra lây nhiễm COVID-19 nhằm đảm bảo an toàn cho nhân viên cũng như vận động viên tham gia Olympic.

Theo IOC, người dùng có quyền kiểm soát những gì ứng dụng My2022 có thể truy cập trên thiết bị của họ. Đồng thời, có thể thay đổi cài đặt đã có trong khi cài đặt ứng dụng hoặc bất kỳ lúc nào sau đó. IOC không bắt buộc phải cài đặt My2022 trên điện thoại di động vì họ có thể đăng nhập vào hệ thống theo dõi sức khỏe trên trang web.

Bên cạnh đó, IOC cũng cho biết đã tiến hành các đánh giá độc lập của bên thứ ba về ứng dụng từ hai tổ chức kiểm tra an toàn thông tin. Các báo cáo này xác nhận rằng không có lỗ hổng nghiêm trọng nào. Và ứng dụng cũng đã nhận được sự chấp thuận từ Google Play và App Store.

Cũng chia sẻ với ZDNet, Ron Deibert, Giám đốc Citizen Lab cho rằng các bình luận của IOC đưa ra không giải quyết các lỗ hổng bảo mật mà tổ chức đã phát hiện và báo cáo.

"IOC có trách nhiệm đảm bảo quyền riêng tư của người dùng và bảo mật cho bất kỳ ứng dụng và hệ thống nào được sử dụng trong Thế vận hội. Các bình luận của IOC đã cho thấy thay vì coi trọng trách nhiệm đó một cách nghiêm túc, trên thực tế, họ đang hy vọng giảm thiểu rủi ro", Ron Deibert nhấn mạnh.

Nhiều quốc gia đã kêu gọi công dân của họ để tất cả các thiết bị cá nhân và máy tính xách tay ở nhà vì lo ngại rằng họ sẽ bị tấn công hoặc theo dõi cả trong trận đấu và khi về nhà. Thậm chí, Ủy ban Olympic Hà Lan đã cấm công dân của mình mang thiết bị tới các trận đấu.

Trong khi đó, Ủy ban tổ chức Bắc Kinh 2022 chia sẻ với USA Today rằng thông tin cá nhân do Olympic Bắc Kinh 2022 thu thập "sẽ không được tiết lộ trừ khi việc tiết lộ là cần thiết". Thông tin của các đại diện truyền thông được công nhận sẽ chỉ được sử dụng cho các mục đích liên quan đến Thế vận hội mùa đông Olympic và Paralympic.

Trong báo cáo của mình, Citizen Lab cho biết họ đã thông báo về lỗ hổng bảo mật trên My2022 tới Ban Tổ chức Olympic và Paralympic Bắc Kinh vào ngày 3/12, nhưng chưa nhận được phản hồi.

Một bản cập nhật vào tháng 1/2022 của ứng dụng này cũng không khắc phục các vấn đề - một điều có thể khiến ứng dụng My2022 vi phạm luật bảo vệ thông tin cá nhân của Trung Quốc cũng như chính sách quyền riêng tư của Apple và Google./.

AD