Ekslusive për DW: Të metat në sigurinë kibernetike të Olympia-App rrezikojnë pjesëmarrësit | Bota | DW | 19.01.2022
  1. Inhalt
  2. Navigation
  3. Weitere Inhalte
  4. Metanavigation
  5. Suche
  6. Choose from 30 Languages
Reklamë

Bota

Ekslusive për DW: Të metat në sigurinë kibernetike të Olympia-App rrezikojnë pjesëmarrësit

Kushdo që udhëton në Kinë për Olimpiadën 2022 duhet të dokumentojë gjendjen e tij shëndetësore në App "My2022". Por softueri ka boshllëqe serioze sigurie, konstatohet në një raport për sigurinë kibernetike.

Sportistë nga e gjithë bota po përgatiten për të marrë pjesë në Lojërat Olimpike Dimërore të Pekinit. Këtë vit këtu bën pjesë edhe respektimi i rregullave përkatëse shëndetësore. Është e detyrueshme, që atletët të instalojnë në smartfonët e tyre aplikacionin zyrtar të quajtur "My 2022". Por aplikacioni ka mangësi në kodimin e të dhënavei. Këtë e pohon një raport i "Citizen Lab", të cilin e disponon ekskluzivisht Deutsche Welle. Një gjë e tillë i vë atletët, gazetarët dhe funksionarët e sportit në rrezik serioz nga hakerat. Privatësia e tyre nuk mbrohet dhe të dhënat e tyre nuk janë të mbrojtura nga vjedhja dhe survejimi. Për më tepër specialistë të forenzikës kibernetike zbuluan se aplikacioni përmban një listë cenzure.

Frikë e madhe nga spiunazhi digjital

Gjithsesi siguria e të dhënave në Lojërat Dimërore në Pekin është kritikuar: Gjermania, Australia, Britania e Madhe dhe SHBA u kanë bërë thirrje komiteteve të tyre kombëtare olimpike dhe atletëve të tyre që t`i lenë në shtëpi telefonat dhe laptopët e tyre privatë. Në vend të tyre ata duhet të marrin me vete pajisje ekstra për Olimpiadën, kaq e madhe është frika nga spiunazhi dixhital.

Pikërisht për këtë arsye Komiteti Olimpik Holandez i ka ndaluar në mënyrë eksplicite sportistët e tij, që të sjellin në Kinë smartfonë dhe laptopë privatë. Në My2022-App atletët, trajnerët, reporterët, funksionarët e sportit dhe punonjësit lokalë duhet të regjistrojnë të dhënat e tyre shëndetësore. 

MY2022-App: gjurmimi i kontakteve dhe shumë më tepër

Lojërat Olimpike Dimërore fillojnë më 4 shkurt dhe do të jenë lojërat e dyta në kohën e pandemisë Corona. Prandaj nuk është për t'u habitur që ekziston një aplikacion i detyrueshëm për smartphone. Ai u përdor edhe në lojërat verore në Tokio vitin e kaluar. Sipas playbook-ut zyrtar të Komitetit Olimpik Ndërkombëtar (IOC), detyrimi për ta instaluar vlen për të gjithë ata që do të jenë në të ashtuquajturën "flluska olimpike" e krijuar posaçërisht për atletët, trajnerët, reporterët, zyrtarët sportivë, përfaqësuesit diplomatikë dhe mijëra punonjës lokalë. Në fakt aplikacioni i zhvilluar në Kinë synon të monitorojë shëndetin e pjesëmarrësve në Olimpiadë dhe në rastet e testeve pozitive të koronës të gjurmojë kontaktet.

Në aplikacion nuk duhet të vendosen vetëm të dhënat e pasaportës dhe të dhënat personale për statusin e udhëtimit, por edhe informacione mjekësore shumë private dhe të ndjeshme. Për shembull, nëse kohët e fundit keni vuajtur nga simptoma të ngjashme me Covid-19 si ethe, lodhje, dhimbje koke, kollë e thatë, diarre ose dhimbje fyti. Kush vjen nga jashtë, duhet të fillojë të kalojë të dhënat shëndetësore në aplikacion 14 ditë përpara se të hyjë në vend.

Gjurmimi i kontakteve i bazuar në aplikacione shihet në shumë vende si një mënyrë moderne për të luftuar pandeminë Covid19. Por aplikacioni kinez My2022 lejon më shumë sesa thjesht gjurmimin e kontakteve: Ai rregullon autorizimet për të pasur akses në eventet olimpike, shërben si guidë për vizitorët me informacione për programin dhe organizimin e eventeve sportive, ofron shërbime turistike për vizitorët dhe madje përfshin funksione bisede (tekst dhe audio), news feeds dhe transferime të të dhënave për përdoruesit. Apo siç thuhet në përshkrimin në Apple app store: Aplikacioni My2022 "ofron shërbim të personalizuar për grupe të ndryshme përdoruesish për të shijuar Lojërat në mënyrë të gjithanshme me një aplikacion".

Trasnmetimi i pasigurt i të dhënave në aplikacion

Boshllëqet në aplikacion u zbuluan nga studiuesit e Citizen Lab, të cilët bëjnë studime mbi sigurinë digjitale rreth çështjeve të të drejtave të njeriut në Munk School of Global Affairs të Universitetit të Torontos. Citizen Lab ka qenë përfshirë edhe në zbulimin e softuerit spiun "Pegasus". Pika specifike e kritikës janë të ashtuquajturat certifikata SSL, të cilat duhet të sigurojnë që trafiku i të dhënave të ndodhë vetëm ndërmjet pajisjeve dhe serverëve të besueshëm: Sipas raportit të Citizen Lab ato nuk janë të vërtetuara për vlefshmërinë. Kjo mungesë e vërtetimit të certifikatave SSL përbën një dobësi serioze sigurie. Si rezultat, aplikacioni mund të devijohet për të komunikuar me një kompjuter keqdashës, duke lejuar që informacioni të përgjohet apo madje të dhënat e dëmshme të kthehen në aplikacion.

Studiuesit e Citizen Lab, Jeffrey Knockel dhe Lotus Ruan, kanë zbuluar cenueshmëri jo vetëm në lidhje me të dhënat shëndetësore, por edhe me shërbime të tjera të rëndësishme në aplikacion. Kjo përfshin shërbimin e aplikacionit që përpunon të gjitha bashkëngjitjet e skedarëve, si dhe transmetimet zanore. Ekspertët zbuluan edhe se trafiku i të dhënave në aplikacion për disa shërbime nuk është aspak i koduar. Kjo do të thotë që të dhënat e shërbimit të bisedës në aplikacion mund të lexohen shumë lehtë nga hakerat. "Zbulimet tona kanë treguar, se masat e sigurisë së aplikacionit My2022 janë krejtësisht joefektive dhe nuk mbrojnë nga rrjedhja e të dhënave të ndjeshme tek palët e treta të paautorizuara”, thotë Knockel.  

Kanada Toronto | Ski-Sportlerinnen Justine Dufour-Lapointe und Chloe Dufour-Lapointe

Ekipi kanadez ka kërkuar i pari të bëhet më shumë për sigurinë kibernetike - në pamje skiatoret Justine Dufour-Lapointe dhe Chloe Dufour-Lapointe

Censurë? Lista e termave të censuruar ngre pyetje

Studiuesit e IT zbuluan edhe një skedar teksti të quajtur "ilegalwords.txt". Aty renditen 2,442 fjalë kyçe dhe fraza, kryesisht nga gjuha kineze e shkruar, e përdorur në Republikën Popullore të Kinës, por edhe disa terma nga gjuha ujgure, tibetiane, gjuha kineze e shkruar e përdorur në Tajvan dhe Hong Kong, dhe nga anglishtja. Ndër termat e shumta ka disa sharje, por edhe shprehje që i referohen temave politikisht tabu në Kinën komuniste, që censurohen nga shteti, duke përfshirë: kritikat ndaj Partisë Komuniste Kineze dhe drejtuesve të saj, si dhe fjalë kyçe që lidhen me Falun Gong; protestat e Tiananmenit; Dalai Lamën; dhe pakicën myslimane ujgure në rajonin Xinjiang. Në ujgurisht, sipas Citizen Lab përfshihet p.sh. edhe termi "kurani i shenjtë".

Eksperti i sigurisë kibernetike në versionin aktual të aplikacionit nuk ka arritur të gjejë të dhëna, që kjo listë censure gjatë përdorimit të përdoret në mënyrë aktive. Po ashtu nuk është fort e qartë se si ky skedar ekziston vërtetë. Jeffrey Kockel nga Citizen Lab thotë, se: "Edhe nëse skeda illegalwords.txt ndërkohë nuk përdoret, My2022 përmban funksione kodimi, që e lexojnë këtë skedë dhe mund të përdoret për censurë, kësisoj lista e censurës aktivizohet lehtësisht."

Aplikacioni qysh tani përmban një funksion raportimi, në të cilin përdoruesit e tij mund të denoncojnë përdoruesit e tjerë nëse ata e konsiderojnë përmbajtjen e mesazhit si të dyshimtë apo të rrezikshme. Ndër arsyet e mundshme për denoncim është edhe opcioni "përmbajtje politike delikate", ashtu si përshkruhen zakonisht në Kinë temat e censuruara politike.

Në My2022-App të dhënat private dhe ato mjekësore, sipas studiuesve të Citizen Lab nuk janë të mbrojtura mjaftueshëm.

Asnjë reagim i Komitetit Organizator Kinez ndaj boshllëqeve të sigurisë

Në fillim të dhjetorit 2021 Citizen Lab në mënyrë konfidenciale ia ka komunikuar Komitetit Organizator konstatimet. Citizen Lab - sikurse është e zakonshme në rast të boshllëqeve të sigurisë - i ka kërkuar organizatorëve kinezë të Olimpiadës, që t'i shmangin pikat e dobëta të sistemit përpara se të publikohet raporti. "Deri tani Komiteti Organizativ nuk ka reaguar ndaj zbulimeve", thotë Jeff Knockel për DW.

Ndonëse ndërkohë janë publikuar disa aktualizime të App-Stores nga Apple dhe Google, verifikimi nga studiuesit e sigurisë të Citizen Lab të ndërmarra më 17 janar 2022 nuk kanë konstatuar ndryshime lidhur me listën e censurës dhe të ashtuquajturat pika të dobëta.

Në playbook për atletët dhe funksionarët Komiteti Ndërkombëtar Olimpik shkruan, se My2022-App është në "përputhje me standardet ndërkombëtare si dhe me legjislacionin kinez".

Por Citizen Lab bazuar tek zbulimet e veta arrin në konkluzionin, se transmetimi i informacioneve personale "mund të jetë një shkelje direkte e ligjeve kineze për mbrojtjen e të dhënave". Sepse në Kinë sipas rregullores për mbrojtjen e të dhënave informacionet për gjendjen shëndetësore të një personi duhet të komunikohen dhe regjistrohen në mënyrë të koduar.

Rezultatet e paraqitura në raportin e Citizen Lab venë pikëpyetje edhe ndaj gjigantëve perëndimorë të teknologjisë, që ofrojnë My2022-App: Apple dhe Google. "Si Apple edhe Google sipas normativave ndalojnë që aplikacioni të transmetojë të dhëna sensible të pakoduara. Të dyja duhet të vendosin tani, nëse problemet e paszgjidhura të sigurisë duhet të kenë si rrjedhojë shuarjen e app stores", thotë Knockel për DW.

Komiteti Organizator 2022 në Pekin e mbron App duke theksuar, se ai "është verifikuar me sukses" nga sipërmarrjet Google, Apple dhe Samsung. "Ne kemi marrë masat si për transmetimin e koduar të informacioneve personale, për të mbrojtur të dhënat private", i tha të hënën (17.01) Komiteti agjencisë kineze të lajmeve Xinhua.

 

Shënim i redaksisë: DW ka pyetur Google dhe Apple që të prononcohen lidhur me këtë.