Эксклюзив DW: приложение My 2022 несет риск олимпийцам в КНР
18 января 2022 г.
Спортсмены со всего мира сейчас готовятся ехать на Зимние Олимпийские игры в Пекин. Подготовка касается и выполнения предписанных Китаем мер в сфере здравоохранения. Так, от участников Олимпиады требуется установить на свои смартфоны официальное приложение My 2022. Проблема однако в том, что это приложение недостаточно эффективно кодирует данные, о чем свидетельствует доклад исследовательской группы Citizen Lab, который есть в эксклюзивном распоряжении Deutsche Welle. Согласно докладу, смартфоны спортсменов, журналистов и спортивных функционеров со всего мира рискуют вскоре стать уязвимыми для хакеров - личные данные оказались недостаточно надежно защищены от кражи и слежки.
Кроме того, специалисты по кибербезопасности обнаружили в приложении цензурный список. Цифровая безопасность на Зимних играх в Пекине и так вызывала беспокойство: Германия, Австралия, Великобритания и США рекомендовали своим атлетам и сотрудникам национальных Олимпийских комитетов не брать с собой личные телефоны и ноутбуки. Вместо этого им предлагают использовать устройства только для одного этого мероприятия - настолько велики опасения цифрового шпионажа. А Олимпийский комитет Нидерландов вообще запретил своим атлетам брать личные смартфоны и ноутбуки в Китай.
Приложение My 2022: отслеживание контактов и много чего еще
Зимние Олимпийские игры стартуют 4 февраля и станут вторыми Играми за период пандемии коронавируса. На этом фоне появление приложения для смартфонов с целью отслеживать возможные заражения атлетов неудивительно, так было и на Летних Играх в Токио в 2021 году. Как сказано в материалах Международного Олимпийского комитета (МОК), все, кто будет находиться в так называемом "олимпийском пузыре" в Пекине, то есть атлеты, тренеры, корреспонденты, функционеры и тысячи местных работников, должны записывать данные о своем здоровье в приложении My 2022 или на сайте.
В принципе, это разработанное в Китае приложение должно помогать следить за состоянием здоровья участников Олимпиады и отслеживать контакты в случае инфицирования коронавирусом. В приложение нужно вносить не только паспортные данные и информацию о перелетах, но и чувствительную медицинскую информацию - например, о недавних симптомах, возможно, связанных с COVID-19, таких как высокая температура, усталость, головная боль, сухой кашель, диарея или боли в горле. Прибывающие из-за границы обязаны заносить данные о здоровье уже за 14 дней до въезда в КНР.
Отслеживание контактов с помощью App на смартфоне во многих странах считается современным средством борьбы с пандемией COVID-19. Но китайское приложение My 2022 имеет более широкие возможности. Оно регулирует доступ к олимпийским мероприятиям, предлагает обширную информацию для посетителей о программе и организации Игр, рекламирует туристические услуги и даже содержит функцию чата (текст и аудио), новостную ленту и функцию пересылку файлов.
Небезопасная передача данных в приложении
Уязвимые места в приложении обнаружили сотрудники группы Citizen Lab, которая занимается исследованиями кибербезопасности в сфере прав человека и которая связана с Munk School of Global Affairs в Университете Торонто. Ранее Citizen Lab принимал участие в расследовании о шпионской программе Pegasus.
Претензии к My 2022 касаются так называемых SSL-сертификатов, которые отвечают за то, чтобы обмен данными шел только с надежными устройствами и серверами. Согласно докладу Citizen Lab, эти сертификаты My 2022 не проверяет, а это - серьезная уязвимость. Поэтому приложение можно обманным путем заставить соединиться с вредоносным компьютером, что в свою очередь может привести к шпионажу за данными или даже к тому, что через приложение на смартфон могут быть отправлены вредоносные файлы.
Эту уязвимость сотрудник Citizen Lab Джеффри Нокел обнаружил не только в данных, касающихся здоровья, но и в других услугах приложения. Кроме того, IT-эксперт выяснил, что для некоторых услуг обмен данными в приложении вообще не кодируется. Таким образом, хакеры могут без труда читать метаданные в чате приложения.
"Мы обнаружили, что мер безопасности в приложении My 2022 абсолютно недостаточно, чтобы предотвратить передачу чувствительных данных третьим сторонам, у которых нет на это права", - говорит Нокел.
Цензура? Запретный список вызывают вопросы
Исследователи из Citizen Lab также обнаружили небольшой файл с названием "illegalwords.txt". В нем содержатся 2442 ключевых слова и фразы, которые преимущественно используются в китайском языке на территории КНР, но также понятия из уйгурского, тибетского, китайского языка, который используется в Гонконге и Тайване, а также английского.
Помимо ругательств в списке можно найти политические выражения, которые признаны табу в коммунистическом Китае и подвергаются публичной цензуре со стороны государства: критика Компартии Китая, ее вождей, а также выражения, связанные с "Фалуньгун", протестами на Тяньаньмэнь, Далай-ламой и мусульманским меньшинством уйгуров в Синьцзяне. Так, по данным Citizen Lab, на уйгурском в списке есть выражение "священный Коран".
В действующей версии My 2022 специалисты не нашли указаний на то, что цензурный список активно используется при работе приложения. Также не совсем понятно, с какой целью этот файл вообще там есть. "Даже если файл "illegalwords.txt" сейчас не используется, в приложении есть кодовые функции, которые читают его и могут быть использованы для цензуры, так что активация цензурного списка потребует незначительных усилий", - говорит Джеффри Нокел.
Уже сейчас в приложение включена функция, которая позволяет пожаловаться на пользователя, если кто-то сочтет сообщение в чате опасным или сомнительным. Среди возможных поводов для такой жалобы есть опция "политически чувствительный контент" - это фраза, которую в Китае обычно используют для подцензурных тем.
Китайский оргкомитет не реагирует на уязвимость
В начале декабря 2021 года Citizen Lab конфиденциально проинформировал китайский оргкомитет о результатах своего исследования. При этом группа, как это обычно делается в случае уязвимостей в сфере кибербезопасности, предоставила организаторам Олимпиады 45 дней для устранения проблемы, прежде чем доклад будет опубликован.
"Пока Оргкомитет не отреагировал на наши разоблачения", - сказал DW Джеффри Нокел.
Тем временем на ресурсах Apple и Google было опубликовано обновление приложения. Но проверка, которую провели сотрудники Citizen Lab 17 января 2022 года, не обнаружила изменений ни в цензурном списке, ни в других уязвимых местах.
Нарушения законов и правил
В материалах для атлетов и функционеров Международного Олимпийского Комитета сказано, что приложение My 2022 соответствует "международным стандартами и китайскому праву".
Но на основе своего исследования Citizen Lab пришла к выводу, что незащищенная передача личной информации "может представлять собой прямое нарушение китайских законов о защите данных". Согласно этим законам, информация о здоровье человека должна храниться и передаваться только в закодированном виде.
Данные доклада Citizen Lab также вызывают вопросы к западным технологическим гигантам, которые распространяют приложение на своих ресурсах - Apple и Google. "Как Apple, так и Google, согласно их собственным правилам, запрещают приложениям передавать данные без достаточного кодирования. Обоим теперь нужно решать, должно ли за нерешенными проблемами безопасности последовать удаление приложения из магазина", - сказал DW Нокел.
Оргкомитет игр в Пекине выступает в защиту приложения и указывает на то, что оно было "успешно проверено" компаниями Apple, Google и Samsung. "Мы предприняли меры, например, кодирование личной информации, чтобы защитить частную сферу", - цитирует комитет информагентство Синьхуа.
Смотрите также: