「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘
2022年2月に開催される北京冬季オリンピックでは、新型コロナウイルス感染症(COVID-19)のワクチン接種や健康状態を把握するため、専用の健康管理アプリ「MY2022」のインストールが参加者全員に義務づけられています。ところが、MY2022をリバースエンジニアリングしたセキュリティ研究者が、「My2022は音声データを含むさまざまなデータを収集し、中国のサーバーに送信する」と報告しています。
https://github.com/jonathandata1/2022_beijing
Mandatory Olympics iOS and Android apps are spying on athletes for China | AppleInsider
https://appleinsider.com/articles/22/01/28/mandatory-olympics-ios-and-android-apps-are-spying-on-athletes-for-china
Beijing spy games: watch out for the application of the Olympics! - The Switzerland Times
https://www.theswitzerlandtimes.com/beijing-spy-games-watch-out-for-the-application-of-the-olympics/
北京冬季オリンピックに出場する選手や出席者は中国へ入国する14日前に、MY2022という公式アプリをスマートフォンにインストールすることが義務づけられています。MY2022はワクチン接種状況や健康状態をモニタリングしてCOVID-19の広がりを抑制するという目的に加えて、現地のイベントや天気、関心のある物事に関する情報を提供するハブとして機能するように設計されているとのこと。
MY2022について分析したトロント大学の学際的研究機関「Citizen Lab」は、MY2022にはセキュリティ上の欠陥があり、ユーザーの音声や転送ファイルを保護する暗号化が簡単に回避されてしまうと報告しました。また、Android版のMY2022には新疆ウイグル自治区やチベット、政治、犯罪、ポルノ、宗教などに関する2422語の「検閲用のワードリスト」が含まれていたこともわかっています。なお、調査時点では検閲用キーワードリストは利用されていなかったそうです。
2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される - GIGAZINE
そんな中、アメリカのセキュリティ研究者であるジョナサン・スコット氏は、MY2022をリバースエンジニアリングして分析した結果をTwitterやGitHubで報告しています。スコット氏は、「逆コンパイルされた2022年オリンピック用のiOSおよびAndroidアプリがGitHubで利用可能になりました。AppleのApp Storeでは『データ収集なし』と主張しているにもかかわらず、中国によるデータ漏えいの証拠があります。このリポジトリは、私がリリースする完全なレポートと直接関係しています」と、#spyware(スパイウェア)というタグ付きでツイートしました。
Decompiled #Olympics2022 #iOS and #Android Apps available on Github Now.
Evidence of Chinese data exfiltration although the Apple App store claims "Data Not Collected"
This repo directly correlates with my full report I will be releasing. #spywarehttps://t.co/hBAxyLMzBp— Jonathan Scott (@jonathandata1) January 23, 2022
スコット氏によると、2022年1月22日の時点ではApp StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」と記されていたものの、1月24日には連絡先情報を収集するという表記に変わっていたとのこと。
One of the biggest deceptions is how the app is listed in the Apple App store...
Jan 22nd, 2022 - No Data was collected
Jan 24th, 2022 - Only Contact Info, but not really? pic.twitter.com/aGq1yk7EcB— Jonathan Scott (@jonathandata1) January 27, 2022
MY2022を分析したスコット氏は、「全てのオリンピック選手の音声が収集され、分析され、中国のサーバーに保存されていると断言できます」と主張しています。このプロセスには中国の国営音声認識AI企業・iFlytekの技術が使われているとのことですが、iFlytekは中国国内のイスラム教徒弾圧に関与しているとして、アメリカ政府によってブラックリストに登録されています。
After reverse engineering all of the #Beijing2022 #spyware app for @Apple #ios and @Google #Android
I can definitively say all Olympian audio is being collected, analyzed and saved on Chinese servers using tech from USA blacklisted AI firm @iflytek1999 https://t.co/9wX1sP8PZP pic.twitter.com/hdIfiKX37m— Jonathan Scott (@jonathandata1) January 26, 2022
アプリユーザーが同意するプライバシーポリシーにも、音声情報やスマートフォンにインストールされたアプリの情報が、iFlytekによって収集されると記されています。しかし、App Storeのページではこれが明記されていないとのこと。
https://t.co/h9JnRJlWNs
This is the privacy policy that app users are required to agree to. It vaguely states that "voice information" is collected by iFlytek, and does not go into detail. Furthermore, the apple app store requires developers to disclose what is being collected pic.twitter.com/AcpLoabEFc— Jonathan Scott (@jonathandata1) January 27, 2022
MY2022はスマートフォンの脆弱性などを突いてバックグラウンドで動作するのではなく、マイクにアクセスするためにフォアグラウンドの状態を維持する仕組みになっているとのこと。
it doesn't get rid of the dot, the application forces itself to the foreground to make sure it has the capability to listen. so for example on android
<uses-permission android:name="android.permission.REORDER_TASKS"/>
for iOS a monitor is triggered & brings the app up front pic.twitter.com/5zbdT9WTfi— Jonathan Scott (@jonathandata1) January 27, 2022
また、Android版のMY2022では、カレンダー・カメラ・連絡先・マイク・ストレージなどへのアクセス許可のほか……
ファイルのダウンロードやスクリーンロックの解除についての許可を求める可能性があるとのことで、マックス氏は「残念ながらGoogleは、あなたのデバイスに永続的なバックドアを作ることをMY2022アプリに許可しました」と述べました。
中国によるスパイ活動への懸念から、以前からオランダはスマートフォンやPCを中国へ持ち込まないよう選手に要請していたほか、アメリカやカナダも自前のスマートフォンを使うのではなく、プリペイド式や使い捨てのデバイスを使うように推奨しています。
