Všichni sportovci a další účastníci letošních zimních olympijských her v Pekingu včetně novinářů i diváků na sportovištích si do svých telefonů budou muset povinně nainstalovat oficiální aplikaci My 2022.
Skupina pro kybernetickou bezpečnost Citizen Lab z Torontské univerzity v Kanadě v ní však našla závažné bezpečnostní nedostatky, které je potenciálně snadné zneužít.
Na první pohled jde o informační aplikaci s praktickými informacemi
Nebezpečné hry
My 2022 má sloužit jako ochrana proti šíření covidu. Účastníci do ní mají před příjezdem a během her zaznamenávat svůj zdravotní stav. Ti ze zahraničí navíc do telefonu musí nahrát informace o očkování proti covidu, výsledky každodenního povinného samotestování, výsledky PCR testů a také údaje z cestovního pasu.
Aplikace jinak nabídne také olympijské novinky a různé praktické informace, textový i hlasový chat, přenos souborů a průvodce s navigací. Jenže o mnoho více můžeme hledat pod povrchem...
Z aplikace získávají užitečná identifikační data čínské značky telefonů (Huawei, Xiaomi, Oppo, Vivo a Meizu), modul od Tencentu a Weiba dokonce k základním síťovým a telefonním identifikačním prvkům přidává seznam nainstalovaných aplikací. Firma AutoNavi Software Co. navíc zná vaši přesnou polohu v reálním čase, iFlytek má navíc přístup do paměti telefonu a eviduje situace, kdy uživatel na telefonu použije překladatelské služby.
Podle zprávy Citizen Lab aplikace navíc obsahuje fatální chybu, kdy při komunikaci s některými servery neověřuje certifikáty SSL. Takže nemůže mít jistotu, zda šifrovaná data posílá skutečně na správný server. Lze pak také podvrhnout odpovědi serveru, což útočníkovi umožní zobrazit falešné pokyny uživatelům.
K tomu jsou v některých případech data odesílána zcela bez šifrování. Zde pak stačí pro zneužití jednoduchý pasivní odposlech, například v kombinaci s nezabezpečenou sítí Wi-Fi. Nešifrují se například právě informace o cestovních dokladech a zdravotní anamnéze. Není ani jasné, s kým – s jakými organizacemi – aplikace poskytnutá data sdílí.
Aplikaci si můžete stáhnout a nainstalovat. K většině funkcí se ale nedostanete bez registrace a k ní je potřeba akreditace na ZOH
Aplikace My 2022 obsahuje funkce pro nahlašování politicky citlivého obsahu. Je v ní také seznam klíčových slov pro cenzuru, který byl ale v době testování neaktivní. Zaměřuje se na různá politická témata, jako je Tibet nebo Ujgurové, dále pak na pornografii, hanlivá slova, na různé politicky motivované slogany. V aplikaci se nesmí objevit ani celé znění čínských úřadů či dřívější čínští vůdci. Kompletní seznam zakázaných slov v čínštině najdete zde.
Objevili jsme soubor illegalwords.txt, který obsahuje seznam 2 442 klíčových slov považovaných v Číně za politicky citlivá.
Citizen Lab se domnívá, že uvedené bezpečnostní nedostatky porušují zásady Googlu a Applu pro publikaci aplikací v Google Play a App Storu. Mohou být také v rozporu s čínskými zákony a národními normami o ochraně soukromí. Přesto si ji všichni účastníci her musí povinně stáhnout, navíc není ani vyloučeno, že se další „sledovací praktiky“ dostanou do aplikace s budoucí aktualizací. Ve verzi aplikace 2.0.5 například přibyla funkce „Green Health Code“, která vyžaduje cestovní dokumenty a historii zdravotních záznamů, ovšem tyto údaje opět přenáší nešifrovaně...
Čína podle BBC obavy z nedostatečné bezpečnosti své oficiální aplikace odmítla. Některé olympijské týmy přesto svým členům doporučují, aby během pobytu používali raději jednorázové „hloupé“ telefony a raději počítali s tím, že jsou sledovaní.
Firma Citizenlab na zjištěné bezpečnostní chyby v aplikaci My 2022 upozornila 3. prosince Pekingskou Organizační komisi pro Olympijské a Paralympijské hry roku 2022, s tím, že reakce měla dorazit do 15 dní a případná oprava měla být zhotovena do 45 dní. Tedy předtím, než Citizenlab se svými zjištěními seznámí veřejnost. K 18. lednu od této komise nedorazila jediná odpověď.
Výše zmíněná „komise“ je uskupení vlastněné státní společností Beijing Financial Holdings Group. Zdá se tedy, že špehování je na letošní olympiádě posvěceno i kruhy nejvyššími, a že s tím vlastně nikdo nic dělat nebude...
