DW-ekskluzivno: Izvješće otkriva IT-sigurnosne propuste u aplikaciji za OI u Pekingu | Politika | DW | 18.01.2022
  1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages
Reklama

u fokusu

DW-ekskluzivno: Izvješće otkriva IT-sigurnosne propuste u aplikaciji za OI u Pekingu

Onaj ko putuje u Kinu na Olimpijske igre 2022. mora instalirati aplikaciju "My2022". No softver ima ozbiljne sigurnosne nedostatke. To pokazuje izvješće o IT sigurnosti do kojeg je DW ekskluzivno došao.

Sigurnost podataka na Zimskim olimpijskim igrama u Pekingu je ionako kritizirana

Sigurnost podataka na Zimskim olimpijskim igrama u Pekingu je ionako kritizirana

Sportaši širom svijeta trenutno se pripremaju za put na Zimske olimpijske igre u Pekingu. Ove godine to uključuje i poštivanje važećih zdravstvenih propisa. Pri tome postoji jedna obaveza: sportaši moraju instalirati službenu aplikaciju pod nazivom "My 2022" na svojim smartphonima.

No, aplikacija nedovoljno šifrira podatke, navodi se u izvješću Citizen Lab-a koje je dostupno ekskluzivno Deutsche Welle-u. To dovodi sportaše, novinare i dužnosnike u ozbiljnu opasnost od hakera. Njihova privatna sfera nije zaštićena i njihovi podaci nisu zaštićeni od krađe i nadzora.

K tomu IT-forenzičari su u aplikaciji pronašli i listu cenzuriranih pojmova.

Sigurnost podataka na Zimskim olimpijskim igrama u Pekingu ionako je kritizirana: Njemačka, Australija, Velika Britanija i SAD pozivaju svoje nacionalne olimpijske odbore i svoje sportaše da ostave svoje privatne telefone i laptope kod kuće. Umjesto toga, sa sobom bi trebali ponijeti posebne uređaje samo za Olimpijske igre, toliko je veliki strah od digitalne špijunaže.

Upravo iz tog razloga, nizozemski NOK je čak izričito zabranio svojim sportašima da nose osobne mobilne telefone i laptope u Kinu. 

Screenshot MY 2022 Olympia App

Aplikacija pod nazivom "My2022"

Aplikacija My2022: Slijeđenje kontakata i još mnogo više

Zimske olimpijske igre počinju 4. februara i bit će druge igre u vrijeme pandemije korona virusa. Stoga ne čudi što postoji aplikacija za pametne telefone – korištena je i na Ljetnim olimpijskim igrama u Tokiju prošle godine kako bi se pratilo mogući lanac infekcija. Prema službenom pravilniku Međunarodnog olimpijskog komiteta (MOK), svi koji će biti u posebno postavljenom "olimpijskom balonu", dakle sportaši, treneri, reporteri, sportski funkcioneri, kao i hiljade lokalnih uposlenika moraju svoje zdravstvene podatke unijeti u aplikaciju ili na web stranicu. 

Zapravo bi aplikacija razvijena u Kini trebala služiti nadgledanju zdravlja sudionika Olimpijskih igara i praćenju kontakata u slučaju pozitivnih testova na koronu.

U aplikaciju se ne moraju unijeti samo podaci iz putovnice i osobni podaci o statusu putovanja, već i vrlo privatni i osjetljivi medicinski podaci. Na primjer, jeste li nedavno patili od simptoma sličnih onim od Covida 19 kao što su temperatura, umor, glavobolja, suhi kašalj, proljev ili grlobolja. Onaj ko dolazi iz inozemstva, mora početi unositi zdravstvene podatke u aplikaciju 14 dana prije ulaska u zemlju. 

Screenshot aplikacija MY 2022 o pravilima privatnosti

Screenshot aplikacija MY 2022 o pravilima privatnosti

Praćenje kontakata bazirano na aplikacijama smatra se modernim načinom borbe protiv pandemije koronom u mnogim zemljama. Ipak kineska aplikacija My2022 omogućuje više od samo praćenja kontakata: ona također regulira dozvolu pristupa olimpijskim događajima, nudi opsežne informacije posjetiteljima o programu i organizaciji sportskog događaja, nudi turističke usluge posjetiteljima, pa čak sadrži i funkcije chata (u tekstualnom i audio obliku), vijesti i prijenos datoteka za korisnike.

Ili, kao što kaže opis u Apple-App-Store-u: Aplikacija nudi mogućnost prilagođavanja postavki za različite tipove korisnika u skladu s tim "kako biste uživali u svim stranama Olimpijskih igara u jednoj aplikaciji".

Nesiguran prijenos podataka u aplikaciji

Sigurnosne propuste u aplikaciji otkrili su znanstvenici iz Citizen Lab-a koji istražuju digitalnu sigurnost u vezi sa pitanjima ljudskih prava i povezani su s Munk School of Global Affairs Sveučilišta u Torontu. Citizen Lab je već bio uključen u otkrivanje špijunskog softvera "Pegasus". 

Konkretna točka kritike odnosi se na tzv. SSL-certifikate, koji imaju za cilj osigurati da se pri prometu podataka komunikacija odvija samo između pouzdanih uređaja i servera: ova aplikacija, prema izvješću Citizen Lab-a, ne provjerava njihovu valjanost. Ovaj nedostatak provjere valjanosti SSL certifikata predstavlja ozbiljnu sigurnosnu prazninu, navodi Citizen Lab.

Kao rezultat toga, aplikacija bi mogla biti prevarena da komunicira sa zlonamjernim računalom, tako da se podaci presreću ili se čak štetni podaci šalju natrag u aplikaciju.

Jeffrey Knockel iz Citizen Lab-a pronašao je ovaj sigurnosni propust ne samo u pogledu zdravstvenih podataka, već i u drugim važnim uslugama u aplikaciji. To se također odnosi na uslugu aplikacije koje obrađuje sve attachment-datoteke i glasovne poruke.

Uz to IT stručnjak je još otkrio da za neke usluge podatkovni promet u aplikaciji uopće nije šifriran. Tako, meta podatke vlastitog chat-servisa aplikacije napadač vrlo lako može pročitati.

"Naše istrage su pokazale da su sigurnosne mjere aplikacije My2022 potpuno neučinkovite i ne štite od curenja osjetljivih podataka neovlaštenim trećim stranama", kaže Knockel u svom izvješću.

Cenzura? Zabranjeni pojmovi otvaraju pitanja

IT istraživači su također otkrili malu tekstualnu datoteku pod nazivom "illegalwords.txt". U njoj je navedeno 2442 pojma i izraza, koji su uglavnom iz pisanog kineskog, ali i neke izraze iz ujgurskog, pisanog kineskog koji se koristi u Tajvanu i Hongkongu i iz engleskog.

Među brojnim pojmovima su osim psovki i politički pojmovi koji su u komunističkoj Kini tabu teme i koji su u javnosti cenzurirani od strane države: kritika Komunističke partije Kine, njezinih čelnika, kao i teme vezane za Falun Gong, potom prosvjedi na Tjenanmenu, Dalaj Lama i ujgurska muslimanska manjina u Xinjiangu. Na ujgurskom se, na primjer, na listi zabranjenih pojmova nalazi pojam "sveti Kuran", navodi Citizen Lab.

IT-stručnjak za sigurnost nije uspio pronaći nikakve naznake u trenutnoj verziji aplikacije da se ovaj popis cenzuriranih pojmova pri korištenju aktivno koristi. Također, kako on kaže, nije sasvim jasno zašto datoteka uopće postoji. Jeffrey Knockel iz Citizen Lab-a o tome kaže: "Iako datoteka 'illegalwords.txt' trenutno nije u upotrebi, aplikacija My2022 već sadrži funkcije koje mogu čitati ovu datoteku i koristiti je za cenzuru, tako da bi aktiviranje cenzuriranih pojmova zahtijevalo samo malo truda."

No ono što aplikacija već sadrži je funkcija za prijavljivanje u kojoj korisnici aplikacije mogu prijaviti druge korisnike ako smatraju da je poruka u chatu opasna ili upitna. Mogući razlozi za prijavljivanje također uključuju opciju "politički osjetljiv sadržaj", koja se u Kini obično koristi za opisivanje politički cenzuriranih tema.  

Screenshot MY 2022 Olympia App

App ima brojne funkcije, ali sadrži i osjetljive zdravstvene podatke

Bez reakcije kineskog Olimpijskog odbora o sigurnosnim propustima

Početkom decembra 2021. Citizen Lab je povjerljivo obavijestio kineski Organizacioni odbor Olimpijskih igara o ovim saznanjima. Kao što je uobičajeno prilikom prijavljivanja sigurnosnih propusta, zatražili su od kineskih organizatora OI da poprave opasne propuste u roku od 45 dana, prije nego što izvještaj bude objavljen. 

"Do sada Organizacioni odbor nije odgovorio na naša otkrića", rekao je Jeff Knockel za DW.

Doduše u međuvremenu su u App-Stores-u Apple-a i Google-a objavljena neka ažuriranja aplikacija. Međutim, provjerom koju su uradili eksperti za sigurnosnost iz Citizen Lab-a, provedenoj 17. januara 2022., nisu pronađene nikakve promjene vezane za cenzurirane pojmove i spomenute sigurnosne propuste.

Kršenje zakona i propisa

U priručniku za sportaše i dužnosnike, Međunarodni olimpijski odbor piše da je aplikacija My2022 "u skladu s međunarodnim standardima i kineskim zakonom".

Međutim, na temelju svojih otkrića, Citizen Lab zaključuje da bi nezaštićeni prijenos osobnih podataka "mogao predstavljati izravno kršenje kineskih zakona o privatnosti". Jer u Kini, prema zaštiti podataka, informacije koje utječu na zdravlje osobe moraju se uvijek pohranjivati ​​i prenositi u šifriranom obliku.

Rezultati izvješća Citizen Lab-a također otvaraju pitanja zapadnim tehnološkim divovima koji nude My2022: Apple-u i Google-u. "Prema njihovim smjernicama, kako Apple tako i Google zabranjuju aplikacijama da prenose osjetljive podatke bez odgovarajuće enkripcije. Obje (tvrtke) sada moraju odlučiti hoće li neriješeni sigurnosni problemi zapravo rezultirati brisanjem (aplikacije MY2022) iz njihovih trgovina", rekao je Knockel za DW.

Organizacioni komitet Igara u Pekingu 2022. brani međutim aplikaciju, ističući da su je „uspješno testirali“ kompanije poput Gugla, Epla i Samsunga.

„Da bismo zaštitili privatne podatke, preduzeli smo mjere kao što je šifrovanje ličnih podataka“, saopštio je Komitet u ponedjeljak novinskoj agenciji Sinhua.

Pratite nas i na Facebooku, na Twitteru, na YouTube, kao i na našem nalogu na Instagramu.