! / Skandal na pomolu: Otkriveni sigurnosni IT propusti u službenoj aplikaciji OI u Pekingu

18. 01. 2022. u 14:14:00 Radiosarajevo.ba

Shares: 0

Onaj ko putuje u Kinu na Olimpijske igre 2022. mora instalirati aplikaciju "My2022". No softver ima ozbiljne sigurnosne nedostatke. To pokazuje izvješće o IT sigurnosti do kojeg je DW ekskluzivno došao.

Sportisti širom svijeta trenutno se pripremaju za put na Zimske olimpijske igre u Pekingu. Ove godine to uključuje i poštivanje važećih zdravstvenih propisa. Pri tome postoji jedna obaveza: svi koji nastupaju na igrama moraju instalirati službenu aplikaciju pod nazivom "My 2022" na svojim smartphonima.

No, aplikacija nedovoljno šifrira podatke, navodi se u izvještaju Citizen Lab-a. To dovodi sportiste, novinare i dužnosnike u ozbiljnu opasnost od hakera. Njihova privatna sfera nije zaštićena i njihovi podaci nisu zaštićeni od krađe i nadzora.

Pored toga, IT-forenzičari su u aplikaciji pronašli i listu cenzuriranih pojmova.

Sigurnost podataka na Zimskim olimpijskim igrama u Pekingu ionako je kritikovana: Njemačka, Australija, Velika Britanija i SAD pozivaju svoje nacionalne olimpijske odbore i svoje sportiste da ostave svoje privatne telefone i laptope kod kuće. Umjesto toga, sa sobom bi trebali ponijeti posebne uređaje samo za Olimpijske igre, toliko je veliki strah od digitalne špijunaže.

Upravo iz tog razloga, nizozemski NOK je čak izričito zabranio svojim sportistima da nose privatne mobilne telefone i laptope u Kinu.

Aplikacija My2022: Slijeđenje kontakata i još mnogo više

Zimske olimpijske igre počinju 4. februara i bit će druge igre u vrijeme pandemije korona virusa. Stoga ne čudi što postoji aplikacija za pametne telefone – korištena je i na Ljetnim olimpijskim igrama u Tokiju prošle godine kako bi se pratilo mogući lanac infekcija. Prema službenom pravilniku Međunarodnog olimpijskog komiteta (MOK), svi koji će biti u posebno postavljenom "olimpijskom balonu", dakle sportisti, treneri, reporteri, sportski funkcioneri, kao i hiljade lokalnih uposlenika moraju svoje zdravstvene podatke unijeti u aplikaciju ili na web stranicu.

Zapravo bi aplikacija razvijena u Kini trebala služiti nadgledanju zdravlja sudionika Olimpijskih igara i praćenju kontakata u slučaju pozitivnih testova na COVID.

U aplikaciju se ne moraju unijeti samo podaci iz pasoša i lični podaci o statusu putovanja, već i vrlo privatni i osjetljivi medicinski podaci. Na primjer, jeste li nedavno patili od simptoma sličnih onim od COVID-a 19 kao što su temperatura, umor, glavobolja, suhi kašalj, proljev ili grlobolja. Onaj ko dolazi iz inozemstva, mora početi unositi zdravstvene podatke u aplikaciju 14 dana prije ulaska u zemlju.

Praćenje kontakata bazirano na aplikacijama smatra se modernim načinom borbe protiv pandemije u mnogim zemljama. Ipak kineska aplikacija My2022 omogućuje više od samo praćenja kontakata: ona također reguliše dozvolu pristupa olimpijskim događajima, nudi opsežne informacije posjetiteljima o programu i organizaciji sportskog događaja, nudi turističke usluge posjetiteljima, pa čak sadrži i funkcije chata (u tekstualnom i audio obliku), vijesti i prijenos datoteka za korisnike.

Ili, kao što kaže opis u Apple-App-Store-u: Aplikacija nudi mogućnost prilagođavanja postavki za različite tipove korisnika u skladu s tim "kako biste uživali u svim stranama Olimpijskih igara u jednoj aplikaciji".

Nesiguran prijenos podataka u aplikaciji

Sigurnosne propuste u aplikaciji otkrili su znanstvenici iz Citizen Lab-a koji istražuju digitalnu sigurnost u vezi sa pitanjima ljudskih prava i povezani su s Munk School of Global Affairs Sveučilišta u Torontu. Citizen Lab je već bio uključen u otkrivanje špijunskog softvera "Pegasus".

Konkretna tačka kritike odnosi se na tzv. SSL-certifikate, koji imaju za cilj osigurati da se pri prometu podataka komunikacija odvija samo između pouzdanih uređaja i servera: ova aplikacija, prema izvještaju Citizen Lab-a, ne provjerava njihovu valjanost. Ovaj nedostatak provjere valjanosti SSL certifikata predstavlja ozbiljnu sigurnosnu prazninu, navodi Citizen Lab.

Kao rezultat toga, aplikacija bi mogla biti prevarena da komunicira sa zlonamjernim kompjuterom, tako da se podaci presreću ili se čak štetni podaci šalju natrag u aplikaciju.

Jeffrey Knockel iz Citizen Lab-a pronašao je ovaj sigurnosni propust ne samo u pogledu zdravstvenih podataka, već i u drugim važnim uslugama u aplikaciji. To se također odnosi na uslugu aplikacije koje obrađuje sve attachment-datoteke i glasovne poruke.

Uz to IT stručnjak je još otkrio da za neke usluge podatkovni promet u aplikaciji uopšte nije šifriran. Tako, meta podatke vlastitog chat-servisa aplikacije napadač vrlo lako može pročitati.

"Naše istrage su pokazale da su sigurnosne mjere aplikacije My2022 potpuno neučinkovite i ne štite od curenja osjetljivih podataka neovlaštenim trećim stranama", kaže Knockel u svom izvještaju.

Cenzura? Zabranjeni pojmovi otvaraju pitanja

IT istraživači su također otkrili malu tekstualnu datoteku pod nazivom "illegalwords.txt". U njoj je navedeno 2442 pojma i izraza, koji su uglavnom iz pisanog kineskog, ali i neke izraze iz ujgurskog, pisanog kineskog koji se koristi u Tajvanu i Hongkongu i iz engleskog.

Među brojnim pojmovima su osim psovki i politički pojmovi koji su u komunističkoj Kini tabu teme i koji su u javnosti cenzurirani od strane države: kritika Komunističke partije Kine, njezinih čelnika, kao i teme vezane za Falun Gong, potom protesti na Tjenanmenu, Dalaj Lama i ujgurska muslimanska manjina u Xinjiangu. Na ujgurskom se, na primjer, na listi zabranjenih pojmova nalazi pojam "sveti Kur'an", navodi Citizen Lab.

IT-stručnjak za sigurnost nije uspio pronaći nikakve naznake u trenutnoj verziji aplikacije da se ovaj popis cenzuriranih pojmova pri korištenju aktivno koristi. Također, kako on kaže, nije sasvim jasno zašto datoteka uopće postoji. Jeffrey Knockel iz Citizen Lab-a o tome kaže: "Iako datoteka 'illegalwords.txt' trenutno nije u upotrebi, aplikacija My2022 već sadrži funkcije koje mogu čitati ovu datoteku i koristiti je za cenzuru, tako da bi aktiviranje cenzuriranih pojmova zahtijevalo samo malo truda."

No ono što aplikacija već sadrži je funkcija za prijavljivanje u kojoj korisnici aplikacije mogu prijaviti druge korisnike ako smatraju da je poruka u chatu opasna ili upitna. Mogući razlozi za prijavljivanje također uključuju opciju "politički osjetljiv sadržaj", koja se u Kini obično koristi za opisivanje politički cenzuriranih tema.

Bez reakcije kineskog Olimpijskog odbora o sigurnosnim propustima

Početkom decembra 2021. Citizen Lab je povjerljivo obavijestio kineski Organizacioni odbor Olimpijskih igara o ovim saznanjima. Kao što je uobičajeno prilikom prijavljivanja sigurnosnih propusta, zatražili su od kineskih organizatora OI da poprave opasne propuste u roku od 45 dana, prije nego što izvještaj bude objavljen.

"Do sada Organizacioni odbor nije odgovorio na naša otkrića", rekao je Jeff Knockel za DW.

Doduše u međuvremenu su u App-Stores-u Apple-a i Google-a objavljena neka ažuriranja aplikacija. Međutim, provjerom koju su uradili eksperti za sigurnosnost iz Citizen Lab-a, provedenoj 17. januara 2022., nisu pronađene nikakve promjene vezane za cenzurirane pojmove i spomenute sigurnosne propuste.

Kršenje zakona i propisa

U priručniku za sportiste i dužnosnike, Međunarodni olimpijski odbor piše da je aplikacija My2022 "u skladu s međunarodnim standardima i kineskim zakonom".

Međutim, na temelju svojih otkrića, Citizen Lab zaključuje da bi nezaštićeni prijenos ličnih podataka "mogao predstavljati izravno kršenje kineskih zakona o privatnosti". Jer u Kini, prema zaštiti podataka, informacije koje utječu na zdravlje osobe moraju se uvijek pohranjivati i prenositi u šifriranom obliku.

Rezultati izvještaja Citizen Lab-a također otvaraju pitanja zapadnim tehnološkim divovima koji nude My2022: Apple-u i Google-u.

"Prema njihovim smjernicama, kako Apple tako i Google zabranjuju aplikacijama da prenose osjetljive podatke bez odgovarajuće enkripcije. Obje (firme) sada moraju odlučiti hoće li neriješeni sigurnosni problemi zapravo rezultirati brisanjem (aplikacije MY2022) iz njihovih trgovina", rekao je Knockel za DW.

Organizacioni komitet Igara u Pekingu 2022. brani međutim aplikaciju, ističući da su je "uspješno testirali" kompanije poput Google, Applea i Samsunga.

"Da bismo zaštitili privatne podatke, preduzeli smo mjere kao što je šifrovanje ličnih podataka", saopštio je Komitet u ponedjeljak novinskoj agenciji Sinhua.


Radiosarajevo.ba pratite putem aplikacija za Android | iPhone i društvenih mreža Twitter | Facebook | Instagram, kao i putem našeg Viber Chata.

NEMA KOMENTARA