Otkriveni bezbednosni propusti u aplikaciji za Olimpijske igre u Pekingu

Sportisti širom sveta trenutno se pripremaju za put na Zimske olimpijske igre u Pekingu. Ove godine to podrazumeva i poštovanje važećih zdravstvenih propisa. Pri tom sportisti moraju da instaliraju zvaničnu aplikaciju pod nazivom „MY2022“ na svojim pametni telefon.

Međutim, ta aplikacija nedovoljno šifrira podatke, navodi se u izveštaju „Sitizen lab“ (Citizen Lab) koji je Dojče vele imao ekskluzivno pravo da pogleda. To dovodi sportiste, novinare i zvaničnike u ozbiljnu opasnost od hakera. Njihova privatnost nije zaštićena, a njihovi podaci nisu zaštićeni od krađe i nadzora. Pored toga, IT-forenzičari su u aplikaciji pronašli i spisak cenzurisanih pojmova.

Bezbednost podataka na Zimskim olimpijskim igrama u Pekingu ionako se kritikuje: Nemačka, Australija, Velika Britanija i SAD pozivaju svoje nacionalne olimpijske odbore i svoje sportiste da svoje privatne telefone i laptop-računare ostave kod kuće. Umesto toga, sa sobom bi trebalo da ponesu posebne uređaje samo za Olimpijske igre – toliko je veliki strah od digitalne špijunaže.

Upravo iz tog razloga, Olimpijski komitet Holandije čak je izričito zabranio svojim sportistima da nose lične mobilne telefone i laptop-računare u Kinu.

Aplikacija „MY2022“: Praćene kontakata i još mnogo više

Zimske olimpijske igre počinju 4. februara i biće druge koje se održavaju u vreme pandemije korona-virusa. Zato ne čudi što postoji aplikacija za pametne telefone – korišćena je i prošle godine na Letnjim olimpijskim igrama, kako bi mogla da se prati eventualna infekcija.

Prema zvaničnom pravilniku Međunarodnog olimpijskog komiteta (MOK), obaveza njenog instaliranja odnosi se na sve koji će biti u posebnom „olimpijskom balonu“ – dakle za sportiste, trenere, novinare, sportske funkcionere, kao i hiljade lokalnih službenika, koji moraju da unesu svoje zdravstvene podatke u aplikaciju „MY2022“ ili na internet-stranicu.

Aplikacija razvijena u Kini trebalo bi u stvari da služi za nadgledanje zdravlja učesnika Olimpijskih igara i praćenje kontakata u slučaju pozitivnih testova na korona.

U aplikaciju ne moraju da se unesu samo podaci iz pasoša i lični podaci o statusu putovanja, već i veoma privatni i osetljivi medicinski podaci. Na primer: da li ste nedavno patili od simptoma karakterističnih za kovid 19 kao što su temperatura, umor, glavobolja, suvi kašalj, proliv ili grlobolja. Onaj ko dolazi iz inostranstva, mora da počne da unosi zdravstvene podatke u aplikaciju 14 dana pre ulaska u zemlju.

Praćenje kontakata bazirano na aplikacijama u mnogim zemljama smatra se modernim načinom borbe protiv pandemije korone. Ipak, kineska aplikacija „My2022“ omogućava više od samo praćenja kontakata: ona takođe reguliše i dozvolu pristupa olimpijskim događajima, posetiocima nudi opsežne informacije o programu i organizaciji sportskog događaja, nudi turističke usluge posetiocima, pa čak ima i funkciju četa (u tekstualnom i audio-obliku), vesti i prenos datoteka za korisnike.

Ili, kao što se navodi u Eplovog ep-stora: aplikacija nudi mogućnost prilagođavanja postavki za različite tipove korisnika „kako biste u jednoj aplikaciji uživali u svim stranama Olimpijskih igara“.

Nesiguran prenos podataka u aplikaciji

Bezbednosne propuste u aplikaciji otkrili su naučnici iz „Sitizen lab“ koji istražuju digitalnu bezbednosti u vezi sa pitanjima ljudskih prava, a povezani su sa Mankovom školom globalnih poslova (Munk School of Global Affairs) pri Univerzitetu u Torontu. „Sitizen lab“ je već bio uključen u otkrivanje špijunskog softvera „Pegaz“ (Pegasus).

Konkretna kritike te laboratorije odnosi se na tzv. „SSL-certifikate“, koji obezbeđuju da se prilikom transfera podataka komunikacija odvija samo između pouzdanih uređaja i servera – kineska aplikacija, prema navodima „Sitizen laba“, ne proverava njihovu valjanost, što predstavlja ozbiljnu bezbednosnu rupu. Kao rezultat toga, aplikacija bi mogla da bude prevarena pa da komunicira sa „zlonamernim računarom“, tako da se podaci presreću ili se čak štetni podaci šalju nazad u aplikaciju.

Džefri Kokel iz „Sitizen laba“ pronašao he taj bezbednosni propust ne samo u pogledu zdravstvenih podataka, već i u drugim važnim uslugama u aplikaciji. To se takođe odnosi i na uslugu aplikacije koje obrađuje sve atačment-datoteke i glasovne poruke.

Uz to, IT-stručnjak je otkrio je i da za neke usluge transfer podataka u aplikaciji uopšte nije šifriran, pa tako metapodatke sa čet-servisa aplikacije napadač veoma lako može da pročita.

„Naše istrage su pokazale da su bezbednosne mere aplikacije ’My20220 potpuno neefikasne i da ne štite od curenja osetljivih podataka trećim, neovlašćenim stranama“, navodi Nokel.

Cenzura? Zabranjeni pojmovi otvaraju pitanja

IT-istraživači takođe su otkrili malu tekstualnu datoteku pod nazivom „illegalwords.txt“. U njoj su navedena 2.442 pojma i izraza, uglavnom iz pisanog kineskog, neki izrazi na ujgurskom, na pisanom kineskom koji se koristi u Tajvanu i Hongkongu, kao i na engleskom.

Među brojnim pojmovima su, osim psovki, i politički pojmovi koji su u komunističkoj Kini tabu-teme i koji su u javnosti cenzurisani od strane države: kritika Komunističke partije Kine, njenih lidera, kao i teme vezane za Falun Gong. Tu su još i protesti na Tjenanmenu, dalaj lama i ujgurska muslimanska manjina u Sinđanu. Na ujgurskom se, na primer, na spisku zabranjenih pojmova nalazi i pojam „Sveti Kuran“, navodi „Sitzen lab“.

Oba IT-stručnjaka za bezbednost nisu uspeli da pronađu nikakve naznake u trenutnoj verziji aplikacije da se taj spisak cenzurisanih pojmova pri korišćenju aktivno koristi. Takođe, kako kažu, nije sasvim jasno zašto ta datoteka uopšte postoji. Džefri Nokel iz „Sitizen laba“ o tome kaže: „Iako datoteka ’illegalwords.txt’ trenutno nije u upotrebi, aplikacija ’My2022’ već sadrži funkcije koje mogu da čitaju tu datoteku i koriste je za cenzuru, tako da bi aktiviranje cenzurisanih pojmova zahtevalo samo malo truda.“

No ono što aplikacija već sadrži jeste funkcija za prijavljivanje u kojoj korisnici aplikacije mogu da prijave druge korisnike ako smatraju da je poruka u četu opasna ili upitna. Mogući razlozi za prijavljivanje uključuju i opciju „politički osetljiv sadržaj“, koja se u Kini obično koristi za politički cenzurisane teme.

Bez reakcije kineskog Olimpijskog komiteta o bezbednosnim propustima

Početkom decembra 2021. „Sitizen lab“ je o svojim saznanjima poverljivo obavestio kineski Organizacioni odbor Olimpijskih igara. Kao što je uobičajeno prilikom prijavljivanja bezbednosnih propusta, oni su od kineskih organizatora Olimpijskih igara zatražili da u roku od 45 dana poprave opasne propuste, pre nego što izveštaj bude objavljen.

„Organizacioni odbor do sada nije odgovorio na naša otkrića“, rekao je Nokel za DW.

U međuvremenu je aplikacija ponuđena i u Ep-storovima Epla i Gugla, ali proverom koju su uradili eksperti za bezbednost „Sitizen laba“ 17. januara 2022. nisu pronađene nikakve promene vezane za cenzurisane pojmove i spomenute bezbednosne propuste.

Kršenje zakona i propisa

U priručniku za sportiste i zvaničnike, Međunarodni olimpijski komitet navodi da je aplikacija „My2022“ „u skladu s međunarodnim standardima i kineskim zakonom“.

Međutim, na osnovu svojih otkrića, „Sitizen lab“ zaključuje da bi nezaštićeni prenos ličnih podataka „mogao da predstavlja direktno kršenje kineskih zakona o privatnosti“. U Kini naime, prema pravilima o zaštiti podataka, informacije koje utiču na zdravlje osobe moraju uvek da se čuvaju i prenose u šifriranom obliku.

Rezultati izveštaja „Sitizen laba“ takođe otvaraju brojna pitanja i za zapadne tehnološke gigante koji nude „My2022“ – Epl i Gugl. „Prema smernicama, kako Epla, tako i Gugla, zabranjeno je da aplikacije prenose osetljive podatke bez odgovarajuće enkripcije. Obe firme sada moraju da odluče da li će nerešeni bezbednosni problemi da rezultiraju brisanjem (aplikacije MY2022) iz njihovih prodavnica“, rekao je Nokel za DW.

Organizacioni komitet Igara u Pekingu 2022. brani međutim aplikaciju, ističući da su je „uspešno testirale“ kompanije poput Gugla, Epla i Samsunga. „Da bismo zaštitili privatne podatke, preduzeli smo mere kao što je šifrovanje ličnih podataka“, saopštio je Komitet u ponedeljak novinskoj agenciji Sinhua.