Uniwersytet Toronto i Citizen Lab opublikowali raport na temat „My2022”, aplikacji dla uczestników Zimowych Igrzysk w Pekinie, która będzie używana do monitorowania zdrowia i podróży sportowców, działaczy i dziennikarzy. Według kanadyjskich ekspertów aplikacja ma poważne wady w zabezpieczeniach.

Twierdzą oni, że aplikacja ma dwie podstawowe wady:

  1. Nie zawsze weryfikuje, czy serwery, na które wysyłane są zaszyfrowane dane, są serwerami zamierzonymi, co może umożliwić złośliwym podmiotom fałszowanie lub naśladowanie tożsamości tego serwera w celu uzyskania dostępu do danych użytkowników. Może to pozwolić na przykład na „przeczytanie poufnych informacji demograficznych, paszportowych, podróżniczych i medycznych ofiary, przesłanych w celnej deklaracji zdrowotnej lub na wysłanie ofierze złośliwych instrukcji po wypełnieniu formularza.”
  2. Aplikacja w ogóle nie szyfruje niektórych poufnych danych. W rzeczywistości oznacza to, że niektóre wrażliwe dane w aplikacji, „w tym nazwy nadawców i odbiorców wiadomości oraz identyfikatory ich kont użytkowników”, są przesyłane bez żadnych zabezpieczeń. „Takie dane mogą zostać odczytane przez dowolnego pasywnego podsłuchiwacza, na przykład osobę znajdującą się w zasięgu niezabezpieczonego punktu dostępu Wi-Fi, osobę obsługującą hotspot Wi-Fi lub dostawcę usług internetowych lub inną firmę telekomunikacyjną”  można przeczytać w raporcie.

Błędy w programie szyfrującym powinny wzbudzić niepokój krajowych komitetów olimpijskich, jak i rządów, wysyłających uczestników oraz dziennikarzy. Jednak wszystko wskazuje, że w rzeczywistości luki w zabezpieczeniach aplikacji są prawdopodobnie bardziej odzwierciedleniem urzędniczego uwiądu niż zamiaru inwigilacji. Po prostu chińskie regulacje gwarantują bezpiece dostęp do wszystkich danych w kraju lub w posiadaniu chińskich operatorów, dlatego te nie muszą tworzyć luk w zabezpieczeniach aplikacji. To raczej efekt słabego projektu i pośpiechu przy jego wdrażaniu.

Citizen Lab poinformowało również, że istnieje lista 2422 politycznych słów kluczowych opisanych w bazie kodu aplikacji jako „illegalwords.txt”. Chociaż funkcja cenzurowania tych słów nie wydawała się aktywna, w raporcie stwierdzono, że słowa kluczowe różnią się między sobą, od pornografii do wzmianek o protestach na Tiananmen, po niektóre słowa w języku ujgurskim, w tym „Święty Koran”, ale też „zastrzyki” i „przymusowe wyburzenia”. Wydaje się, że to po prostu część kodu, która z rozdzielnika trafia do wszystkich aplikacji tworzonych przez lub na zamówienie chińskich władz.

Oczywiście, sportowcy i działacze, a zwłaszcza dziennikarze jadący na olimpiadę powinni się spodziewać, że będą inwigilowani. Jednak istnieją środki ostrożności, które powinny podjąć wszystkie osoby podróżujące do Chin, o czym pisałem niedawno.

Opublikował/a Michał Bogusz

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s

Ta witryna wykorzystuje usługę Akismet aby zredukować ilość spamu. Dowiedz się w jaki sposób dane w twoich komentarzach są przetwarzane.