まず1つ目はSSL証明書の検証に失敗し、機密性の高い暗号化データの送受信ができない脆弱性です。すなわち「攻撃者がアプリとサーバ間の通信を妨害することで、信頼できるサーバになりすますこと」が可能であり、悪意あるホストに接続させて個人情報を傍受できるほか、偽装コンテンツをアプリに表示できると説明されています。
第二の脆弱性は、一部の機密データがSSL暗号化やセキュリティが全く確保していない状態で送信されていること。その中にはメッセージの送信者と受信者の名前、ユーザーアカウントの識別子など、メッセージに関連する機密性の高いメタデータが含まれている、と述べられています。 つまり機密にすべき情報が平文で送られるため、Wi-Fiホットスポットの運営者やインターネットサービスプロバイダなど、経路上にいるあらゆる人たちが盗聴しほうだいというわけです。これら2つの脆弱性は、iOSとAndroid版の両方に存在していると見られています。 昨年(2021年)12月3日、Citizen Labはこれらの問題をオリンピック・パラリンピック冬季大会の北京組織委員会に提示したとのこと。しかし期限とした1月18日までに回答がひとつもなかったため、一般公開に踏み切ったと明かされています。また17日の時点でiOS版のバージョン2.05がリリースされたため分析したところ、報告した問題は修正されていなかったそうです。によると、国際オリンピック委員会(IOC)はアプリに関する第三者評価をすでに実施しており、「重大な脆弱性」は見つからなかったとコメント。それに加えて「スマートフォンに『My2022』をインストールすることは義務付けられていない」との声明を出したとのことです。
これらの報道をまとめると、記事執筆時点では中国当局は個人情報が漏えいする穴を塞ぐつもりはなさそうです。またIOCも中国政府に対応を要請する考えはなく、万が一何かがあっても「My2022の使用は自己責任で」という姿勢を貫くつもりかもしれません。
日本 最新ニュース, 日本 見出し
Similar News:他のニュース ソースから収集した、これに似たニュース記事を読むこともできます。
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »
ソース: Engadget 日本版 - 🏆 45. / 63 続きを読む »