Застосунок Олімпіади в Пекіні небезпечний для учасників
24 січня 2022 р.Спортсмени з усього світу цими днями збираються на зимові Олімпійські ігри до Пекіна. Цього разу з огляду на пандемію COVID-19 організатори приділяють особливу увагу питанням здоров'я. Учасникам і гостям Олімпіади доведеться скачати собі на телефон застосунок My2022 (у перекладі з англійської - Мій2022). Однак ця програма погано шифрує дані, зазначають фахівці організації Citizen Lab у своєму звіті, ексклюзивно наданому DW. Для спортсменів, журналістів і спортивних функціонерів це означатиме ризик потрапити під приціл хакерів. Дані не захищено від крадіжки, а приватність не гарантовано, застерігають фахівці. Крім того, експерти з цифрової форензики знайшли у застосунку інструменти для здійснення цензури.
Питання захисту даних на цій Олімпіаді потрапило у фокус вже не вперше. Раніше Німеччина, Австралія, Великобританія й США вже рекомендували національним олімпійським комітетам цих країн закликати спортсменів залишити свої ноутбуки й мобільні телефони вдома. Побоювання цифрового шпигунства з боку Китаю є настільки високим, що спортсменам рекомендували взяти з собою телефони та ноутбуки, які не шкода буде викинути після Олімпіади. З цієї ж причини НОК Нідерландів узагалі заборонив олімпійцям цієї країни брати з собою особисті смартфони та ноутбуки.
Додаток My2022: відстеження контактів і не тільки
Олімпійські ігри розпочнуться 4 лютого. На попередніх іграх у Токіо застосунок для відстежування контактів спортсменів з огляду на ризик інфікування в умовах пандемії теж був. Таку мету задекларували й організатори ігор у Пекіні. Однак цього разу до застосунку треба вносити значно більше даних, ніж потрібно для відстеження контактів у разі виявлення хворих на коронавірусну хворобу. Ідеться не лише про паспортні дані й дані про перельоти, але й вельми приватні дані про загальний стан здоров'я. Вносити ці дані, зокрема, щодо ймовірних симптомів хвороби, у застосунок треба буде вже за два тижні до старту Олімпіади.
Крім анонімного відстеження контактів, що вже стало нормою в умовах пандемії в багатьох країнах, китайський додаток регулюватиме доступ до окремих олімпійських об'єктів і заходів, а також надаватиме організаційну інформацію та цифрові послуги для туристів, матиме функції чату й передачі файлів.
Незахищена передача даних
Вразливі сторони застосунку виявили дослідники Citizen Lab - канадської громадської організації, яка опікується питаннями прав людини й безпеки даних. Ця організація свого часу стала відомою після викриття шпигунської програми Pegasus. В епіцентрі критики цього разу - SSL-сертифікати, які в процесі обміну даними мають гарантувати, що дані передаються лише пристроям та серверам, які заслуговують на довіру. У випадку китайського застосунку чинність SSL-сертифікатів узагалі не перевіряється.
Через це до даних буде легко отримати доступ зловмисникам, що дозволить їм як вкрасти дані окремих користувачів, так і заразити пристрої злоякісними шпигунськими файлами. Через цю лазівку, зазначає Джефрі Нокел із Citizen Lab, можна буде вкрасти не лише дані про стан здоров'я, але й, наприклад, голосові повідомлення й файлові додатки, які передаватимуться за допомогою Му2022. Експерт, крім того, ще й з'ясував, що дані, які передаються деякими сервісами застосунку, взагалі ніяк не зашифровані. Зловмисникам дуже легко отримати доступ до таких даних, їх можуть читати треті особи. "Наш аналіз показав, що заходи безпеки з боку розробників My2022 є цілковито неефективними і не захищають від доступу до даних третіх осіб", - каже Нокел.
Цензура?
Фахівці також виявили в застосунку текстовий файл під назвою illegalwords.txt. Він містить 2442 терміни і словосполучення, переважно китайською мовою, але й уйгурською, тибетською, а також варіантами китайської мови, які використовуються у Тайвані та Гонконгу, та англійською.
Крім лайливих слів, список містить і політичні терміни, які підпадають під табу в Китаї. Ідеться про критику Комуністичної партії Китаю, її лідерів, а також слова, пов'язані з релігійним рухом "Фалуньгун", протестами на площі Тяньаньмень, Далай-ламою і мусульманською меншиною уйгурів у провінції Синьцзян. Зокрема, уйгурською у списку є й вислів "священний Коран".
У чинній версії My2022 фахівці не знайшли вказівок на те, що цензурний список активно використовується під час роботи програми. Також не зовсім зрозуміло, з якою метою цей файл там є. "Навіть якщо файл "illegalwords.txt" зараз не використовується, у додатку є кодові функції, які читають його і які може бути використано для цензури, тому активація цензурного списку вимагатиме незначних зусиль", - говорить Джеффрі Нокел.
Програма містить функцію, яка дозволяє поскаржитися на користувача, якщо хтось визнає повідомлення в чаті небезпечним або сумнівним. Серед можливих підстав для такої скарги є опція "політично чутливий контент" - це фраза, яку зазвичай використовують у Китаї для цензурованих тем.
Китайський оргкомітет не реагує
На початку грудня 2021 року Citizen Lab конфіденційно поінформувала китайський оргкомітет про результати свого дослідження. При цьому група, як це зазвичай робиться у випадках прогалин у сфері кібербезпеки, надала організаторам Олімпіади 45 днів для усунення проблеми, перш ніж публікувати доповідь.
"Поки що Оргкомітет не відреагував на наші викриття", - сказав DW Джеффрі Нокел. Тим часом на ресурсах Apple та Google з'явилося оновлення застосунку. Але перевірка, яку провели співробітники Citizen Lab 17 січня 2022 року, не виявила змін ані в цензурному списку, ані в інших вразливих місцях.
Порушення законів
У матеріалах для атлетів та функціонерів Міжнародного олімпійського комітету зазначено, що програма My2022 відповідає "міжнародним стандартам та китайському законодавству". Але на основі свого дослідження Citizen Lab дійшла висновку, що незахищена передача особистої інформації "може бути прямим порушенням китайських законів про захист даних". Відповідно до цих законів, інформація про здоров'я людини має зберігатися та передаватися лише у закодованому вигляді.
Дані доповіді Citizen Lab також викликають питання до західних технологічних гігантів, які розповсюджують застосунок на своїх ресурсах - Apple та Google. "Як Apple, так і Google, згідно з їхніми власними правилами, забороняють додаткам передавати дані без достатнього кодування. Обом тепер доведеться вирішувати, чи видаляти додаток через невирішені проблеми безпеки", - сказав DW Нокел.
Оргкомітет ігор у Пекіні виправдовує застосунок і посилається на те, що його "успішно перевірили" компанії Apple, Google і Samsung. "Ми вжили заходів, таких як кодування особистої інформації, щоб захистити приватну сферу", - цитує комітет інформаційна агенція "Сіньхуа".