Svako ko putuje u Kinu na Olimpijske igre 2022. treba da dokumentuje svoj zdravstveni status u aplikaciji „My 2022“. Ali softver ima ozbiljne bezbednosne nedostatke, navodi se u izveštaju o sajber bezbednosti.
Sportisti iz celog sveta pripremaju se za učešće na Zimskim olimpijskim igrama u Pekingu. Ove godine je deo toga i poštovanje relevantnih zdravstvenih pravila. Obavezno je da sportisti na svoje pametne telefone instaliraju zvaničnu aplikaciju pod nazivom „My 2022“. Ali aplikacija ima nedostatke u šifrovanju podataka. To potvrđuje i izveštaj „Citizen Lab”. Ovo dovodi sportiste, novinare i sportske zvaničnike u ozbiljnu opasnost od hakera. Njihova privatnost nije zaštićena i njihovi podaci nisu zaštićeni od krađe i nadzora. Štaviše, stručnjaci za sajber forenziku su otkrili da aplikacija sadrži listu cenzure.
Veliki strah od digitalne špijunaže
Međutim, bezbednost podataka na Zimskim igrama u Pekingu je kritikovana: Nemačka, Australija, Ujedinjeno Kraljevstvo i Sjedinjene Države pozvale su svoje nacionalne olimpijske komitete i sportiste da ostave svoje privatne telefone i laptopove kod kuće. Umesto toga, sa sobom moraju da ponesu dodatnu opremu za Olimpijske igre, tako da je strah od digitalne špijunaže veliki.
Zbog toga je holandski olimpijski komitet izričito zabranio svojim sportistima da donose privatne pametne telefone i laptopove u Kinu. U aplikaciji “My2022” sportisti, treneri, reporteri, sportski zvaničnici i lokalni zaposleni moraju da registruju svoje zdravstvene kartone.
MY2022-App: praćenje kontakata i još mnogo toga
Zimske olimpijske igre počinju 4. februara i biće druge igre u vreme pandemije korone. Stoga nije iznenađujuće što postoji obavezna aplikacija za pametne telefone. Korišćena je i na Letnjim igrama u Tokiju prošle godine. Prema zvaničnom spisku Međunarodnog olimpijskog komiteta (MOK), obaveza njenog instaliranja odnosi se na sve one koji će se naći u takozvanim „olimpijskim mehurićima“ kreiranim specijalno za sportiste, trenere, reportere, sportske zvaničnike, diplomatske predstavnike i hiljade lokalnih zaposlenih. U stvari, aplikacija razvijena u Kini ima za cilj da prati zdravlje učesnika na Olimpijadi i u slučajevima pozitivnih koronarnih testova da prati kontakte.
Prijava mora da sadrži ne samo podatke o pasošu i lične podatke o statusu putovanja, već i veoma privatne i osetljive medicinske informacije. Na primer, ako ste nedavno patili od simptoma sličnih Covid-19, kao što su groznica, umor, glavobolja, suv kašalj, dijareja ili bol u grlu. Ko dolazi iz inostranstva mora da počne da predaje zdravstvene podatke u prijavi 14 dana pre ulaska u zemlju.
Praćenje kontakata zasnovano na aplikacijama se u mnogim zemljama smatra modernim načinom za borbu protiv pandemije Covida19. Ali kineska aplikacija “My2022” omogućava više od pukog praćenja kontakata: reguliše ovlašćenja za pristup olimpijskim događajima, služi kao vodič za posetioce sa informacijama o programu i organizaciji sportskih događaja, pruža turističke usluge posetiocima, pa čak uključuje i funkcije ćaskanja (tekst i audio), vesti i prenos podataka za korisnike. Ili kako piše u opisu u Apple prodavnici aplikacija: Aplikacija “My2022” “nudi personalizovanu uslugu za različite grupe korisnika da uživaju u igrama na sveobuhvatan način sa jednom aplikacijom“.
Nesiguran prenos podataka u aplikaciji
Praznine u aplikaciji otkrili su istraživači “Citizen Lab-a” koji rade studije digitalne bezbednosti o pitanjima ljudskih prava na Munk školi za globalne poslove na Univerzitetu u Torontu. Citizen Lab je takođe bio uključen u otkrivanje špijunskog softvera “Pegasus”. Posebna tačka kritike su takozvani SSL sertifikati, koji bi trebalo da obezbede da se saobraćaj podataka odvija samo između pouzdanih uređaja i servera: prema izveštaju “Citizen Lab-a”, oni nisu validni. Ovaj nedostatak autentifikacije SSL sertifikata predstavlja ozbiljni bezbednosni nedostatak. Kao rezultat toga, aplikacija može biti preusmerena na komunikaciju sa zlonamernim računarom, omogućavajući presretanje informacija ili čak vraćanje zlonamernih podataka u aplikaciju.
Istraživači iz “Citizen Lab-a” Džefri Nokel i Lotus Ruan otkrili su ranjivosti ne samo u vezi sa zdravstvenim podacima, već i sa drugim važnim uslugama u aplikaciji. Ovo uključuje uslugu aplikacije koja obrađuje sve priloge datoteka, kao i audio prenose. Stručnjaci su utvrdili i da promet podataka u aplikaciji za neke servise uopšte nije šifrovan. To znači da podatke usluge ćaskanja u aplikaciji hakeri mogu vrlo lako pročitati. „Naši nalazi pokazuju da su bezbednosne mere aplikacije “My2022” potpuno neefikasne i ne štite osetljive podatke od curenja neovlašćenim trećim licima“, kaže Knokel.
Cenzura? Lista cenzurisanih termina postavlja pitanja
IT istraživači su takođe otkrili tekstualnu datoteku pod nazivom “ilegalwords.txt”. Navodi 2.442 ključne reči i fraze, uglavnom iz kineskog pisanog jezika, koji se koriste u Narodnoj Republici Kini, ali i neke termine iz ujgurskog, tibetanskog, kineskog pisanog jezika koji se koristi u Tajvanu i Hong Kongu i iz engleskog. Među brojnim terminima ima nekoliko uvreda, ali i izraza koji se odnose na politički tabu teme u komunističkoj Kini, a koje država cenzuriše, uključujući: kritiku Komunističke partije Kine i njenih lidera, kao i ključne reči vezane za Falun Gong; protesti na Tjenanmenu; Dalaj Lama; i ujgurska muslimanska manjina u regionu Sinđang. U Ujguru, prema Citizen Lab uključenim npr. takođe izraz „sveti Kuran“.
Stručnjak za sajber bezbednost u trenutnoj verziji aplikacije nije uspeo da pronađe podatke za ovu cenzurnu listu koja bi se aktivno koristila tokom korišćenja. Takođe nije jasno kako ova datoteka zapravo postoji. Džefri Kokel iz “Citizen Lab-a” kaže: „Čak i ako datoteka illegalwords.s.txt trenutno nije u upotrebi, “My2022” sadrži funkcije šifrovanja koje čitaju ovu datoteku i mogu se koristiti za cenzuru, tako da se lista cenzure lako aktivira“.
Aplikacija već sadrži funkciju izveštavanja, u kojoj njeni korisnici mogu prijaviti druge korisnike ako smatraju da je sadržaj poruke sumnjiv ili opasan. Među mogućim razlozima za osudu je i opcija „delikatnog političkog sadržaja“, kako se cenzurisane političke teme obično opisuju u Kini.
U “My2022-App” privatni i medicinski podaci, prema istraživačima “Citizen Lab-a”, nisu dovoljno zaštićeni.
Nema reakcije kineskog organizacionog komiteta na bezbednosne propuste.
Početkom decembra 2021. “Citizen Lab” je poverljivo saopštio nalaze Organizacionom odboru. “Citizen Lab” – kao što je uobičajeno u slučaju bezbednosnih propusta – pozvala je kineske olimpijske organizatore da izbegavaju slabosti u sistemu pre nego što izveštaj bude objavljen. „Organizacioni komitet do sada nije reagovao na otkrića“, rekao je Džef Nokel za DV.
Iako su Apple i Gugl u međuvremenu objavili neka ažuriranja App-Store-a, provera bezbednosnih istraživača Citizen Lab-a preduzeta 17. januara 2022. nije pronašla nikakve promene u vezi sa cenzurnom listom i takozvanim slabim tačkama.
U priručniku za sportiste i zvaničnike, Međunarodni olimpijski komitet piše da je “My2022-App “u skladu sa međunarodnim standardima kao i kineskim zakonodavstvom”.
Ali “Citizen Lab”, na osnovu svojih nalaza, zaključuje da bi prenos ličnih podataka „mogao biti direktno kršenje kineskih zakona o zaštiti podataka“. Jer u Kini prema uredbi o zaštiti podataka informacije o zdravstvenom stanju osobe moraju biti saopštene i zabeležene na šifrovan način.
Rezultati predstavljeni u izveštaju “Citizen Lab-a” takođe dovode u pitanje zapadne tehnološke gigante koji nude “My2022-App”: Apple i Google. „I Apple i Google normativno zabranjuju aplikaciji da prenosi osetljive dekodirane podatke. Obojica sada moraju da odluče da li bi nerešeni bezbednosni problemi trebalo da dovedu do gašenja prodavnica aplikacija“, rekao je Knokel za DW.
Organizacioni komitet Pekinga 2022. brani aplikaciju, rekavši da su je „uspešno verifikovali“ Google, Aple i Samsung. „Preduzeli smo mere kako za šifrovani prenos ličnih informacija, tako i za zaštitu privatnih podataka“, rekao je komitet kineskoj novinskoj agenciji Sinhua u ponedeljak (17. januara).