Ekskluzivno: Kako olimpijska aplikacija ugrožava sudionike
18. siječnja 2022
Sportaši širom svijeta trenutno se pripremaju za odlazak na Zimske olimpijske igre u Pekingu. Ove godine to uključuje i poštivanje važećih zdravstvenih propisa. Zato sportaši trebaju instalirati službenu aplikaciju pod nazivom "My 2022" na svojim mobilnim telefonima.
No ta aplikacija nedovoljno šifrira podatke, navodi se u izvješću Citizen Laba koje je ekskluzivno dobio Deutsche Welle. To dovodi sportaše, novinare i dužnosnike u ozbiljnu opasnost od hakera. Njihova privatna sfera nije zaštićena i njihovi podaci nisu zaštićeni od krađe i nadzora.
Osim toga, IT-forenzičari su u aplikaciji pronašli i listu cenzuriranih pojmova.
Sigurnost osobnih podataka na Zimskim olimpijskim igrama u Pekingu ionako je kritizirana: Njemačka, Australija, Velika Britanija i SAD pozivaju svoje nacionalne olimpijske odbore i svoje sportaše da ostave privatne telefone i laptope kod kuće. Umjesto toga, sa sobom bi trebali ponijeti posebne uređaje samo za Olimpijske igre - tako je veliki strah od digitalne špijunaže.
Upravo iz tog razloga Nizozemski olimpijski odbor je čak izričito zabranio svojim sportašima da nose osobne mobilne telefone i laptope u Kinu.
Aplikacija My2022: slijeđenje kontakata i još mnogo više
Zimske olimpijske igre počinju 4. veljače i bit će druge igre koje se održavaju u vrijeme pandemije. Zato ne čudi što postoji aplikacija za pametne telefone – korištena je i na Ljetnim olimpijskim igrama u Tokiju prošle godineza praćenje kontakata zaraženih sportaša. Prema službenom pravilniku Međunarodnog olimpijskog odbora (MOO), svi koji će biti u posebno postavljenom "olimpijskom balonu", dakle sportaši, treneri, reporteri, sportski dužnosnici i tisuće lokalnih zaposlenika moraju unijeti podatke o svom zdravlju u aplikaciju My2022 ili na specijalnu web-stranicu.
Zapravo bi aplikacija razvijena u Kini trebala služiti nadgledanju zdravlja sudionika Olimpijskih igara i praćenju kontakata u slučaju pozitivnih testova na koronu.
U aplikaciju se ne moraju unijeti samo podaci iz putovnice i osobni podaci o statusu putovanja, već i vrlo privatni i osjetljivi medicinski podaci. Na primjer, jeste li nedavno patili od simptoma sličnih covid-u 19 kao što su temperatura, umor, glavobolja, suhi kašalj, proljev ili grlobolja. Onaj tko dolazi iz inozemstva, mora početi unositi zdravstvene podatke 14 dana prije ulaska u zemlju.
Praćenje kontakata bazirano na aplikacijama smatra se modernim načinom borbe protiv pandemije u mnogim zemljama. Ipak kineska aplikacija My2022 omogućuje više od samog praćenja kontakata: ona također regulira dozvolu pristupa olimpijskim događajima, nudi opsežne informacije posjetiteljima o programu i organizaciji sportskog događaja, nudi turističke usluge posjetiteljima, pa čak sadrži i funkcije chata (u tekstualnom i audio obliku), vijesti i prijenosa datoteka za korisnike.
Ili, kao što kaže opis u Apple-App-Storeu: aplikacija nudi mogućnost prilagođavanja postavki za različite tipove korisnika "kako biste uživali u svim stranama Olimpijskih igara u jednoj aplikaciji".
Nesiguran prijenos podataka u aplikaciji
Sigurnosne propuste u aplikaciji otkrili su znanstvenici iz Citizen Laba koji istražuju digitalnu sigurnost u vezi s pitanjima ljudskih prava i povezani su s Munk School of Global Affairs Sveučilišta u Torontu. Citizen Lab je već bio uključen u otkrivanje špijunskog softvera "Pegasus".
Konkretna kritika odnosi se na tzv. SSL-certifikate, koji imaju za cilj osigurati da se pri prometu podataka komunikacija odvija samo između pouzdanih uređaja i servera: ova aplikacija, prema izvješću Citizen Laba, ne provjerava njihovu valjanost. Ovaj nedostatak provjere valjanosti SSL-certifikata predstavlja ozbiljan sigurnosni nedostatak, navodi Citizen Lab.
Kao rezultat toga, aplikacija bi mogla biti prevarena da komunicira sa „zlonamjernim" računalom, tako da se podaci presreću ili se čak štetni podaci šalju natrag u aplikaciju.
Jeffrey Knockel iz Citizen Laba pronašao je ovaj sigurnosni propust ne samo što se tiče zdravstvenih podataka, već i u drugim važnim uslugama u aplikaciji. To se također odnosi na uslugu aplikacije koja obrađuje sve attachment-datoteke i glasovne poruke.
Uz to je otkriveno i da za neke usluge podatkovni promet u aplikaciji uopće nije šifriran. Tako, metapodatke vlastitog chat-servisa aplikacije napadač vrlo lako može pročitati.
"Naše istrage su pokazale da su sigurnosne mjere aplikacije My2022 potpuno neučinkovite i ne štite od curenja osjetljivih podataka neovlaštenim trećim stranama", rekao je Knockel.
Cenzura? Zabranjeni pojmovi otvaraju pitanja
IT-istraživači su također otkrili malu tekstualnu datoteku pod nazivom "illegalwords.txt". U njoj su navedeni 2.442 pojma i izraza, koji potječu uglavnom iz pisanog kineskog, ali i neke izraze iz ujgurskog, pisanog kineskog koji se koristi u Tajvanu i Hongkongu i iz engleskog jezika.
Među brojnim pojmovima su osim psovki i politički pojmovi koji su u komunističkoj Kini tabu teme i koji su u javnosti cenzurirani od strane države: kritika Komunističke partije Kine, njezinih čelnika, kao i teme vezane za Falun Gong, potom prosvjedi na Tiananmenu, Dalaj Lama i ujgurska muslimanska manjina u Xinjiangu. Na ujgurskom se, na primjer, na listi zabranjenih pojmova nalazi pojam "Sveti Kuran", navodi Citizen Lab.
IT-stručnjaci za sigurnost nisu uspjeli pronaći nikakve naznake u trenutnoj verziji aplikacije da se ovaj popis cenzuriranih pojmova pri korištenju aktivno koristi. Također, kako oni kažu, nije sasvim jasno zašto datoteka uopće postoji. Jeffrey Knockel iz Citizen Laba o tome kaže: "Iako datoteka 'illegalwords.txt' trenutno nije u upotrebi, aplikacija My2022 već sadrži funkcije koje mogu čitati ovu datoteku i koristiti je za cenzuru, tako da bi aktiviranje cenzuriranih pojmova zahtijevalo samo malo truda."
No ono što aplikacija već sadrži je funkcija za prijavljivanje pomoću koje korisnici aplikacije mogu prijaviti druge korisnike ako smatraju da je poruka u chatu opasna ili upitna. Mogući razlozi za prijavljivanje također uključuju opciju "politički osjetljiv sadržaj", koja se u Kini obično koristi za opisivanje politički cenzuriranih tema.
Bez reakcije kineskog Olimpijskog odbora o sigurnosnim propustima
Početkom prosinca 2021. Citizen Lab je u povjerenju obavijestio kineski Organizacijski odbor Olimpijskih igara o ovim saznanjima. Kao što je uobičajeno prilikom prijavljivanja sigurnosnih propusta, zatražili su od kineskih organizatora OI-a da uklone opasne propuste u roku od 45 dana, prije nego što izvještaj bude objavljen.
"Do sada nam Organizacijski odbor nije odgovorio na naša otkrića", rekao je Jeff Knockel za DW.
Doduše u međuvremenu su u App-Storeu Applea i Googlea objavljeni pojedini updateovi aplikacije. Međutim, provjerom koju su uradili stručnjaci za sigurnost iz Citizen Laba, provedenoj 17. siječnja 2022., nisu pronađene nikakve promjene vezene za cenzurirane pojmove i spomenute sigurnosne propuste.
Kršenje zakona i propisa
U priručniku za sportaše i dužnosnike Međunarodni olimpijski odbor piše da je aplikacija My2022 "u skladu s međunarodnim standardima i kineskim zakonom".
Međutim, na temelju svojih otkrića, Citizen Lab zaključuje da bi nezaštićeni prijenos osobnih podataka "mogao predstavljati izravno kršenje kineskih zakona o privatnosti". Jer u Kini, prema propisima o zaštiti podataka, informacije koje utječu na zdravlje osobe moraju se uvijek pohranjivati i prenositi u šifriranom obliku.
Rezultati izvješća Citizen Laba također otvaraju pitanja zapadnim tehnološkim divovima koji nude My2022: Appleu i Googleu. "Prema njihovim smjernicama, kako Apple tako i Google, zabranjuju aplikacijama prijenos osjetljivih podataka bez odgovarajuće enkripcije. Obje (tvrtke) sada moraju odlučiti hoće li neriješeni sigurnosni problemi zapravo rezultirati brisanjem (aplikacije MY2022) iz njihovih trgovina", rekao je Knockel za DW.
No Organizacijski odbor Peking 2022 brani aplikaciju i upućuje na to da je ona „uspješno preispitana“ od strane tvrtki kao što su Google, Apple i Samsung. „Poduzeli smo mjere poput zaključavanja osobnih informacija kako bismo zaštitili privatne podatke“, priopćio je Odbor u ponedjeljak za kinesku novinsku agenciju Xinhua.
Pratite nas i na Facebooku, preko Twittera, na Youtubeu, kao i na Instagramu