Vulnerabilitățile de securitate IT ale aplicației JO2022

Sportivi din întreaga lume se pregătesc pentru a se deplasa la Jocurile Olimpice de iarnă de la Beijing. Anul acesta, competiția include și respectarea cerințelor sanitare, iar sportivii urmează să își instaleze pe smartphone aplicația oficială numită "My 2022". 

Atât doar că numita aplicație nu criptează datele în mod corespunzător, după cum arată un raport realizat de "Citizen Lab", obținut în exclusivitate de Deutsche Welle. Sportivii, jurnaliștii și oficialii sunt astfel expuși unor pericole grave din partea hackerilor. Sfera privată a participanților nu este respectată, iar datele lor personale nu sunt protejate împotriva furtului și a supravegherii. În plus, expertul în criminalistică IT a găsit în aplicație o listă de cuvinte-cheie pentru cenzură.  

De altfel, de la bun început, securitatea datelor la Jocurile Olimpice de la Beijing a stat sub un mare semn de întrebare. Germania, Australia, Marea Britanie și SUA îndeamnă comitetele lor olimpice naționale și sportivii să își lase acasă telefoanele și laptopurile personale, luând în schimb cu ei dispozitive suplimentare, doar pentru perioada în care se află în China pentru Jocurile Olimpice. Atât de mare este teama de spionaj digital!

Tocmai din acest motiv, NOK din Olanda a interzis în mod explicit sportivilor săi să aducă în China smartphone-uri și laptopuri personale.    

Aplicația My2022: urmărirea contactelor și multe altele

Jocurile Olimpice, care încep pe 4 februarie, sunt a doua competiție de acest fel care se desfășoară în pandemie. În context, nu este tocmai surprinzător faptul că există o aplicație pentru smartphone-uri; la fel s-a întâmplat și la Jocurile Olimpice de vară, ținute anul trecut la Tokyo, oficialitățile nipone explicând că aceasta este necesară urmăririi eventualelor cazuri de infecții în rândurile sportivilor. 

Conform manualului oficial al Comitetului Internațional Olimpic (CIO), toți cei care se vor afla în "bula olimpică" special creată - atleți, antrenori, reporteri, oficiali sportivi și mii de angajați locali - trebuie să își introducă datele de sănătate în aplicația sau pe site-ul "My2022".

De fapt, aplicația, care a fost dezvoltată în China, este menită să monitorizeze starea de sănătate a participanților la Jocurile Olimpice și să urmărească contactele în cazul în care testul pentru depistarea unei infecții cu coronavirus este pozitiv.

În aplicație trebuie introduse nu numai datele din pașaport și datele personale privind statutul de călătorie, ci și informații medicale private și sensibile. De exemplu, dacă cineva a suferit recent de simptome asemănătoare celor cauzate de Covid 19, cum ar fi febră, oboseală, dureri de cap, tuse uscată, diaree sau dureri în gât. Cei care vin din străinătate trebuie chiar să înceapă să introducă datele de sănătate în aplicație cu 14 zile înainte de a intra în țară.

Urmărirea contactelor pe bază de aplicații este considerată un mijloc modern de combatere a pandemiei de Covid19 în multe țări. Însă aplicația chineză My2022 permite mai mult decât urmărirea contactelor. Ea reglementează autorizațiile de acces la evenimentele olimpice, oferă informații detaliate despre programul și organizarea evenimentului sportiv, oferă servicii turistice pentru vizitatori și include chiar funcții de chat (text și audio), fluxuri de știri și transferuri de fișiere pentru utilizatori. 

Sau, după cum se spune în descrierea aplicației din Appstore, ”aplicația oferă posibilitatea de a ajusta setările în mod corespunzător pentru diferite tipuri de utilizatori astfel încât să vă bucurați de Jocurile Olimpice din toate punctele de vedere, într-o singură aplicație”. 

Transmiterea nesigură a datelor în aplicație 

Lacunele din aplicație au fost descoperite de cercetătorii de la Citizen Lab, care efectuează cercetări privind securitatea digitală în domeniul drepturilor omului, organizație afiliată Munk School of Global Affairs din cadrul Universității din Toronto. Citizen Lab a fost implicat inclusiv în descoperirea softului de spionaj "Pegasus". 

Concret, grupul critică îndeosebi așa-numitele certificate SSL, care ar trebui să garanteze că traficul de date are loc numai între dispozitive și servere de încredere. În raport, Citizen Lab arată că acestea nu sunt verificate pentru valabilitate. Această lipsă de validare a certificatelor SSL reprezintă o vulnerabilitate gravă de securitate. Astfel, aplicația poate fi păcălită să comunice cu un computer preparat cu rele intenții, cu ajutorul căruia datele pot fi spionate sau chiar se pot trimite date malițioase înapoi către aplicație. 

Jeffrey Knockel de la Citizen Lab a descoperit această vulnerabilitate nu doar în datele privind sănătatea, ci și în alte servicii importante din aplicație, cum ar fi procesarea fișierelor atașate și mesajele vocale. 

În plus, expertul în IT a descoperit că, pentru unele servicii, traficul de date din aplicație nu este deloc criptat. Din acest motiv, ar fi foarte ușor pentru un atacator să citească așa-numitele metadate ale serviciului de chat al aplicației.

"Analizele noastre au demonstrat că măsurile de securitate ale aplicației My2022 sunt complet ineficiente și nu protejează datele sensibile de scurgerea către terți neautorizați", subliniază Knockel în documentul elaborat de Citizen Lab.

Cenzură? O listă a termenilor interziși ridică întrebări 

Cercetătorii IT au mai descoperit și un mic fișier text numit "illegalwords.txt". Acesta enumeră 2442 de termeni și expresii, în principal din limba chineză scrisă folosită în Republica Populară Chineză, dar și din limba uigură, tibetană, chineza scrisă folosită în Taiwan și Hong Kong, precum și din limba engleză. 

Printre numeroșii termeni plasați pe "lista neagră" regăsim înjurături, precum și termeni politici tabu, ori alte cuvinte supuse cenzurii de stat: critici la adresa Partidului Comunist Chinez, a liderilor săi, precum și subiecte legate de Falun Gong, protestele din Tiananmen, Dalai Lama și minoritatea musulmană uigură din Xinjiang. Pe lista cenzurii inserată în aplicație se află și formula "Sfântul Coran" în limba uigură, potrivit Citizen Lab.

Experții în securitate IT nu au găsit niciun indiciu în versiunea actuală a aplicației care să ateste că această listă de cenzură este utilizată în mod activ în timpul utilizării aplicației. De asemenea, nu este foarte clar de ce există acest fișier. Jeffrey Knockel de la Citizen Lab crede că "deși fișierul 'illegalwords.txt' nu este utilizat în prezent, My2022 conține deja funcții de cod care pot citi acest fișier și îl pot folosi pentru cenzură, astfel încât activarea listei de cenzură ar necesita un efort redus."

Cu toate acestea, aplicația conține deja o funcție prin care utilizatorii pot raporta alți utilizatori dacă sunt de părere că un mesaj de chat este periculos sau îndoielnic. Printre posibilele motive de raportare se numără opțiunea "Conținut sensibil din punct de vedere politic", care este folosită de obicei în China pentru a descrie subiecte cenzurate din motive politice. 

Citizen Lab: Nicio reacție din partea comitetului de organizare chinez la breșele de securitate

La începutul lunii decembrie 2021, Citizen Lab i-a transmis în mod confidențial concluziile comitetului de organizare chinez. CL a solicitat - așa cum se obișnuiește atunci când se raportează vulnerabilități de securitate - ca organizatorii chinezi să remedieze vulnerabilitățile periculoase în termen de 45 de zile, înainte de publicarea raportului.

"Până în prezent, comitetul de organizare nu a răspuns la dezvăluirile noastre", a declarat Jeff Knockel pentru DW.  

Între timp, deși au avut loc mai multe actualizări ale programului în magazinele de aplicații Apple și Google, un audit efectuat la 17 ianuarie 2022 de către cercetătorii în domeniul securității IT de la Citizen Lab nu a constatat nicio modificare în ceea ce privește lista de cenzură și vulnerabilitățile menționate.

Încălcarea legilor și reglementărilor

În "Playbook for Athletes and Officials", Comitetul Internațional Olimpic scrie că aplicația My2022 funcționează "în conformitate cu standardele internaționale, precum și cu legislația chineză". 

Cu toate acestea, Citizen Lab concluzionează, în virtutea propriilor descoperiri listate în raport, că transmiterea nesecurizată a informațiilor personale "ar putea fi o încălcare directă a legilor chineze privind protecția datelor" – în conformitate cu legile privind protecția datelor din China, informațiile referitoare la sănătatea unei persoane trebuie să fie întotdeauna stocate și transmise în formă criptată. 

Pe de altă parte, concluziile raportului Citizen Lab ridică semne de întrebare și asupra practicilor giganților occidentali din domeniul tehnologiei care pun la dispoziție My2022: Apple și Google. 

"Atât Apple, cât și Google interzic aplicațiilor să transmită date sensibile fără o criptare adecvată. Ambele companii trebuie să decidă acum dacă problemele de securitate nerezolvate din aplicația Jocurilor Olimpice nu ar trebui să ducă de fapt la ștergerea acesteia din magazinele lor de aplicații", a declarat Knockel pentru DW.  

Comitetul de organizare Beijing 2022 respinge acuzațiile aduse aplicației și subliniază că aceasta a fost "testată cu succes" de companii precum Google, Apple și Samsung.

"Am luat măsuri precum criptarea informațiilor personale pentru a proteja datele private", a declarat luni comitetul pentru agenția de presă Xinhua.