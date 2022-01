Sportowcy z całego świata przygotowują się już do podróży na XXIV Zimowe Igrzyska Olimpijskie w Pekinie. W tym roku ich przygotowania do tej imprezy obejmują także dostosowanie się do obowiązujących na niej zasad ochrony zdrowia. Sportowcy są zachęcani do zainstalowania na swoich smartfonach oficjalnej aplikacji o nazwie My2022.

Dziury w zabezpieczeniach

Jak wynika z udostępnionych DW ekskluzywnie ustaleń grupy badawczej Citizen Lab, aplikacja ta nie jest jednak w pełni bezpieczna, ponieważ słabo szyfruje dane. Sportowcy, dziennikarze i działacze są przez to narażeni w dużym stopniu na ataki hakerów. Nie można zagwarantować im ani zachowania prywatności, ani zabezpieczyć ich danych przed kradzieżą czy wglądem w nie przez osoby trzecie. Poza tym eksperci z zakresu informatyki śledczej wykryli w tej aplikacji listę obszarów objętych cenzurą.

Bezpieczeństwo danych podczas Zimowych Igrzysk Olimpijskich w Pekinie i tak pozostawia wiele do życzenia. Niemcy, Australia, Wielka Brytania i USA zaleciły swoim sportowcom i działaczom narodowych komitetów olimpijskich pozostawienie ich prywatnych telefonów komórkowych i laptopów w domu. Zamiast nich do Pekinu powinni zabrać komórki i laptopy przeznaczone wyłącznie na tę imprezę, co wymownie świadczy o obawach przed cyfrowym szpiegostwem. Niderlandzki Komitet Olimpijski z tego właśnie powodu oficjalnie zabronił swoim sportowcom zabrania do Chin ich prywatnych smartfonów i laptopów.

Aplikacja My2022: śledzenie kontaktów i dużo więcej

Igrzyska w Pekinie rozpoczynają się 4 lutego i będą już drugą olimpiadą rozgrywaną podczas pandemii. Dlatego nie można się specjalnie dziwić, że wprowadzono specjalną aplikację pozwalającą śledzić możliwe zakażenia koronawirusem wśród sportowców. Podobne rozwiązanie zastosowano już podczas letniej olimpiady w Tokio w ubiegłym roku. W regulaminie Międzynarodowego Komitetu Olimpijskiego (MKOL) na XXIV Zimowych Igrzyskach Olimpijskich w Pekinie znalazło się zalecenie, że wszyscy przebywający w specjalnej strefie bezpieczeństwa w Pekinie, nazwanej już „bańką olimpijska”, a więc sportowcy, trenerzy, działacze sportowi, dziennikarze i liczny chiński personel obsługujący igrzyska, muszą umieścić dane na temat ich zdrowia w aplikacji My2022 albo na specjalnej stronie internetowej.

Aplikacja My2022

W zasadzie ta opracowana w Chinach aplikacja ma służyć nadzorowaniu stanu zdrowia uczestników igrzysk i śledzenia ich kontaktów w razie zarażenia się przez któregoś z nich koronawirusem.

W aplikacji My2022 należy zawrzeć nie tylko dane paszportowe i osobiste, związane z rolą, jaką odgrywa na olimpiadzie dana osoba, ale także wrażliwe dane natury osobistej i medycznej, takie jak informacje o tym, czy w ostatnim czasie nie wystąpiy typowe dla chorych na COVID-19 objawy, jak gorączka, zmęczenie, bóle głowy, suchy kaszel, biegunka albo ból gardła. Zagraniczni uczestnicy olimpiady w Pekinie muszą zawrzeć je na tej aplikacji już na 14 dni przed wjazdem na teren Chin.

Śledzenie poprzez aplikację kontaktów osób zarażonych koronawirusem w wielu krajach świata postrzegane jest jako nowoczesny i skuteczny sposób walki z pandemią COVID-19. Problem z aplikacją My2022 polega na tym, że kryje w sobie dużo więcej: reguluje zezwolenia na dostęp do imprez olimpijskich, dostarcza obszernych informacji na temat programu i organizacji imprezy sportowej, oferuje usługi turystyczne, a nawet zawiera funkcje czatu (tekstowego i dźwiękowego), wiadomości i przesyłania plików. Jak głosi opis w sklepie App Store, aplikacja oferuje możliwość dostosowania ustawień odpowiednio dla preferencji użytkowników, „aby cieszyć się Igrzyskami Olimpijskimi wszechstronnie w jednej aplikacji”.

Niepewne przekazywanie danych w aplikacji

Luki bezpieczeństwa w aplikacji My2022 wykryli naukowcy z Citizen Lab, związanego z Munk School of Global Affairs Uniwersytetu w Toronto, badającego zagadnienia bezpieczeństwa cyfrowego w kontekście przestrzegania praw człowieka. Wcześniej mieli udział w wykryciu afery wokół szpiegowskiego oprogramowania Pegasus.

Ich główny zarzut wobec aplikacji My2022 dotyczy certyfikatu SSL, który zapewnia poufność transmisji danych przekazywanych za jej pośrednictwem w internecie. W rezultacie aplikacja może zostać podstępnie przekierowana na wrogi serwer, tak że dane będą szpiegowane, a złośliwe oprogramowanie nawet wysyłane z powrotem do aplikacji.

Jeffrey Knockel z Citizen Lab twierdzi, że takie luki bezpieczeństwa w My2022 obejmują nie tylko dane na temat zdrowia użytkowników tej aplikacji, ale także inne ważne dane, jak obsługa załączników lub wiadomości głosowe. Ekspert IT odkrył również, że w przypadku niektórych usług ruch danych w aplikacji nie jest w ogóle szyfrowany, przez co metadane usługi czatu stają się łatwe do odczytania przez hakerów. Krótko mówiąc: ta aplikacja nie jest bezpieczna.

– Nasze badania wykazały, że zabezpieczenia aplikacji My2022 są całkowicie nieskuteczne i nie chronią wrażliwych danych przed przedostaniem się do nieuprawnionych osób trzecich – mówi Jeffrey Knockel.

Reprezentacja Kanady - jedna z wielu, którą ostrzeżono przed ws. bezpieczeństwa cyfrowego

Cenzura? Lista zakazanych tematów budzi pytania

Eksperci IT wykryli w My2022 także niewielki plik tekstowy o nazwie illegalwords.txt, obejmujący zakazane słowa, hasła i zwroty, których jest w sumie 2442. Dotyczą one głównie słów i zwrotów używanych w języku chińskim, ale także ujguryjskim, tybetańskim, tajwańskim i chińskim używanym w Hongkongu oraz w języku angielskim. Wśród nich, poza przekleństwami i wyzwiskami, są także pojęcia polityczne dotyczące spraw i wydarzeń objętych w komunistycznych Chinach cenzurą, takich jak krytyka Komunistycznej Partii Chin, jej przywódców, a także tematów związanych z Falun Gong, protestami na Tiananmen, Dalajlamą i muzułmańską mniejszością Ujgurów w Xinjiang. Według Citizen Lab na liście znajduje się na przykład termin „Święty Koran” w języku ujgurskim.

Dwaj eksperci ds. bezpieczeństwa IT nie znaleźli w obecnej wersji aplikacji żadnych wskazówek, że ta lista cenzury jest aktywnie wykorzystywana. Nie jest też do końca jasne, dlaczego ten plik w ogóle istnieje. Jeffrey Knockel z Citizen Lab dodaje: –Nawet jeśli plik illegalwords.txt nie jest obecnie używany, My2022 już zawiera funkcje, które mogą odczytać ten plik i wykorzystać go do cenzurowania, więc aktywacja tej listy wymagałaby niewielkiego wysiłku.

Aplikacja jednak już ma funkcję raportowania, dzięki której użytkownicy aplikacji mogą zgłaszać innych użytkowników, jeśli uważają, że wiadomość na czacie jest niebezpieczna lub niepokojąca. Wśród możliwych powodów zgłoszenia jest opcja „treść wrażliwa politycznie” („politically sensitive content”), która w Chinach jest zazwyczaj używana do opisania tematów cenzurowanych politycznie.

Niespodziewany zwrot w zamieszaniu wokół My2022

Na początku grudnia 2021 Citizen Lab poufnie poinformowało chiński komitet organizacyjny igrzysk w Pekinie o swoich zastrzeżeniach i uwagach wobec aplikacji My2022 i, jak zwykle w takich przypadkach, poprosiło o usunięcie luk w zabezpieczeniach w ciągu 45 dni przed opublikowaniem przez Citizen Lab własnego raportu w tej sprawie.

– Komitet organizacyjny igrzysk do tej pory nie zareagował na nasze ustalenia” – powiedział w rozmowie z DW Jeffrey Knockel.

Citizen Lab: informacje zawarte w aplikacji My2022 nie są odpowiednio chronione

W międzyczasie Apple i Google opublikowały w sklepach z aplikacjami kilka aktualizacji do My2022, ale przeprowadzone 17 stycznia badania przez ekspertów z Citizen Lab wykazały, że nie wprowadziły one żadnych zmian na liście słów i pojęć objętych cenzurą, ani nie usunęły wykrytych przez nich luk bezpieczeństwa.

Naruszenie przepisów

W regulaminie Międzynarodowego Komitetu Olimpijskiego na XXIV ZIO w Pekinie napisano, że aplikacja My2022 jest „zgodna z międzynarodowymi standardami, jak również z chińskim prawem”.

Citizen Lab twierdzi natomiast, że niezabezpieczony transfer danych osobowych „może stanowić bezpośrednie naruszenie chińskiej ustawy o ochronie danych”. W Chinach bowiem informacje dotyczące zdrowia danej osoby muszą być zawsze przechowywane i przekazywane w formie zaszyfrowanej.

Wyniki raportu Citizen Lab ponadto nasuwają pytania do zachodnich gigantów technologicznych, oferujących aplikację My2022: Apple i Google. – Zarówno Apple, jak i Google zgodnie z ich polityką zabraniają aplikacjom transferu wrażliwych danych bez odpowiedniego szyfrowania. Oba koncerny muszą teraz zdecydować, czy nierozwiązane problemy bezpieczeństwa nie powinny faktycznie spowodować usunięcia aplikacji z ich sklepów – zaznacza Jeffrey Knockel.

Komitet organizacyjny Igrzysk w Pekinie jednak broni aplikacji, podkreślając, że została „pomyślnie sprawdzona” przez takie firmy jak Google, Apple i Samsung.

„Podjęliśmy środki, takie jak szyfrowanie informacji osobistych, aby chronić prywatne dane” – poinformował w poniedziałek, 17 stycznia, komitet za pośrednictwem agencji informacyjnej Xinhua.

