Cyberbezpieczeństwo
Dane polskich olimpijczyków zagrożone. Chodzi o chińską aplikację
Aplikacja stworzona dla uczestników zbliżających się Igrzysk Olimpijskich w Pekinie, w tym polskich sportowców, posiada luki, które stanowią potencjalne zagrożenie dla bezpieczeństwa ich danych - wskazują specjaliści Citizen Lab, czyli tego samego zespołu, który potwierdził przypadki użycia Pegasusa w naszym kraju. „Raport ekspertów nie dostarcza niezbędnych dowodów na poparcie ich tezy” - komentuje sprawę dla CyberDefence24 Międzynarodowy Komitet Olimpijski (MKOl). Czy polski rząd i instytucje zamierzają zająć się sprawą?
Specjaliści Citizen Lab przy Uniwersytecie w Toronto wykryli, że aplikacja „MY2022” posiada poważne luki (nie sprawdza poprawności certyfikatów SSL oraz część wrażliwych danych jest przesyłanych bez żadnego szyfrowania), a przez to stanowi ryzyko dla bezpieczeństwa danych użytkowników.
Jest ona obowiązkowa dla wszystkich uczestników zbliżających się zimowych Igrzysk Olimpijskich w Pekinie, w tym sportowców i dziennikarzy. Każdy z nich musi pobrać program 14 dni przed przyjazdem do Chin. Istnieje również konieczność codziennego monitorowania stanu zdrowia i przesyłania tych informacji do aplikacji.
Aplikacja własnością chińskiej państwowej firmy
Aplikacja oferuje wiele funkcji. Posiada opcję czatu (również głosowego), nawigację GPS, możliwość przesyłania plików oraz wyświetla najnowsze aktualizacje (np. prognozę pogody) dotyczące sportowego święta. Ponadto, może być wykorzystywana do przesyłania wymaganych informacji celnych dotyczących zdrowia dla osób przybywających do Chin z zagranicy.
„MY2002” powstała z inicjatywy komitetu odpowiedzialnego za organizację IO w Pekinie i jest własnością chińskiej państwowej firmy Beijing Financial Holdings Group.
Dane mogą być przetwarzane przez chiński rząd
Eksperci wskazują, że aplikacja w przypadku krajowych użytkowników gromadzi takie informacje, jak: dane osobowe, numer identyfikacyjny, numer telefonu, adres e-mail, zdjęcie profilowe i informacje o zatrudnieniu. Są one udostępniane Komitetowi Organizacyjnemu Igrzysk Olimpijskich 2022 w Pekinie.
Inaczej wygląda sprawa w przypadku osób spoza Chin. Wówczas aplikacja zbiera inny zestaw danych, który pozwala na ich identyfikację, w tym dane paszportowe i organizacje/instytucje, do których należą.
Poradnik Igrzysk Olimpijskich precyzuje, że dane osobowe, w tym szczególnie wrażliwe informacje dotyczące zdrowia, mogą być przetwarzane przez szereg podmiotów, w tym Komitet Organizacyjny Igrzysk Olimpijskich w Pekinie, chińskie władze (m.in. rząd, władze lokalne i inne instytucje odpowiedzialne za kwestie zdrowotne i bezpieczeństwa w kraju), Międzynarodowy Komitet Olimpijski, Międzynarodowy Komitet Paraolimpijski i inne podmioty zaangażowane we wdrażanie środków zaradczych związanych z COVID-19.
Wykorzystanie luki jest „trywialnie proste”
Według ekspertów podatność aplikacji pozwala na ominięcie szyfrowania głosu i przesyłanie plików na zewnątrz. Dodają, że wykorzystanie luki nie jest skomplikowane, a wręcz przeciwnie - „trywialnie proste”. Problem dotyczy również bezpieczeństwa formularzy celnych dotyczących kondycji zdrowotnej, które zawierają np. dane z dokumentów tożsamości (m.in. paszportów), historię chorób czy wykaz odbytych podróży.
Analiza aplikacji pokazała, że podmioty z zewnątrz mogą także wysyłać do użytkowników fałszywe komunikaty i instrukcje wyświetlane na ekranach urządzeń.
Specjaliści Citizen Lab wskazują, że luki w zabezpieczeniach aplikacji mogą naruszać nie tylko zasady Google'a, ale i wytyczne Apple App Store oraz chińskie przepisy i standardy dotyczące prywatności. „To otwiera furtkę do potencjalnych roszczeń w przyszłości” - podkreślają eksperci.
Co z bezpieczeństwem danych polskich olimpijczyków?
Odkrycie ekspertów oznacza, że polscy sportowcy będą zobowiązani do zainstalowania aplikacji posiadającej luki, które stanowią potencjalne zagrożenie dla bezpieczeństwa znajdujących się na ich urządzeniach danych. Czy nasze władze - na czele z Ministerstwem Sportu, Urzędem Ochrony Danych Osobowych i Polskim Komitetem Olimpijskim - zamierzają coś zrobić z tą sprawą, aby ochronić olimpijczyków? Skierowaliśmy do nich pytania.
„Priorytetem Komitetu Organizacyjnego Pekin 2022 jest bezpieczeństwo zdrowotne wszystkich uczestników igrzysk. Aplikacja jest zatem koniecznym wymogiem dla wszystkich uczestników tego wydarzenia” - mówi nam Polski Komitet Olimpijski. PKOl podkreśla, że podobna aplikacja była wymagana podczas igrzysk olimpijskich w Tokio.
„Każdy uczestnik wprowadza do niej wyłącznie podstawowe dane dotyczące ogólnego samopoczucia w danym dniu, temperatury ciała, itp.” - tłumaczy Komitet. Nie uzyskaliśmy jednak odpowiedzi na to, czy PKOl jest świadomy informacji przekazanych przez Citizen Lab odnośnie bezpieczeństwa aplikacji.
Jak na razie, Ministerstwo Sportu oraz UODO nie przedstawiły nam swojego stanowiska w tej sprawie.
Czytaj też
Czy luki zostały umieszczone celowo?
Specjaliści Citizen Lab wskazują, że Chiny w przeszłości podważały technologie szyfrowania w celu cenzury politycznej i inwigilacji. Wykorzystywały również nieszyfrowaną komunikację sieciową do ataków typu „man-in-the-middle”.
Zdaniem ekspertów słabe szyfrowanie informacji celnych dotyczących kwestii zdrowotnych jest skutkiem ubocznym chęci celowego osłabienia szyfrowania innego katalogu danych, których przechwyceniem byłby zainteresowany chiński rząd. Pomimo tego wskazują, że mniej prawdopodobne jest, iż tak duży brak bezpieczeństwa to efekt większego spisku Pekinu, niż różne priorytety twórców aplikacji, będące pośrednim następstwem polityki Komunistycznej Partii Chin.
Wątpliwości i obawy dotyczące możliwości cenzury oraz nadzoru poprzez chińskie aplikacje - według Citizen Lab - „są w dużej mierze uzasadnione”. Wynika to z faktu, że istnieje obszerna dokumentacja na temat luk w zabezpieczeniach, naruszeń prywatności, a także kontroli informacji w ramach apek obsługiwanych w Państwie Środka i/lub powstałych w tym kraju.
„Warto jednak podkreślić, że chiński rząd poczynił poważne kroki na rzecz powstrzymania inwazyjnego gromadzenia danych osobowych przez firmy i niewłaściwego obchodzenia się z nimi, stosując się tym samym do globalnych zasad ochrony danych” - wskazują specjaliści.
Lista słów zakazanych
Specjaliści Citizen Lab podczas analizy aplikacji odkryli także interesujący plik o nazwie „illegalwords.txt”. To zbiór 2442 słów postrzeganych w Chinach za politycznie wrażliwe (m.in. krytykujące chiński system i odnoszące się do wewnątrzpartyjnych podziałów), ale nie tylko. Chodzi także o hasła dotyczące pornografii, wulgaryzmów czy nielegalnych towarów.
Ekspertom nie udało się dowieść, czy wspomniany plik jest wykorzystywany do jakiejkolwiek formy cenzury. Wiadomo jedynie, że kod aplikacji został zaprojektowany w celu użycia listy słów zakazanych.
MKOl: Citizen Lab nie dostarczyło niezbędnych dowodów
Międzynarodowy Komitet Olimpijski wskazuje dla naszego portalu, że w raporcie Citizen Lab dotyczącym aplikacji nie dostarczono „niezbędnych dowodów na poparcie wniosków”. MKOl podkreśla, że rzecznik IO Pekin 2022 przedstawił szczegółowe cechy aplikacji „MY2022”. „Umowa użytkownika i Polityka prywatności aplikacji, które zostały sprawdzone i zatwierdzone przez MKOl, jasno wskazują na rodzaj informacji gromadzonych i wykorzystywanych przez funkcje >>MY2022<<” - odpowiada nam Komitet. Dodaje, że podjęto różne środki bezpieczeństwa, włączni z szyfrowaniem, aby chronić dane osobowe.
MKOl podkreśla, że aplikacja jest ważnym narzędziem w zestawie środków zaradczych wobec COVID-19, ponieważ posiada m.in. możliwość monitorowania zdrowia. Komitet na naszych łamach oświadcza - tu cytat: „MY2022 została niezależnie oceniona przez dwie organizacje testujące cyberbezpieczeństwo i nie posiada krytycznych luk w zabezpieczeniach”. Zaznacza, że aplikacja uzyskała akceptację Google Play i App Store.
Co ciekawe, MKOl mówi nam, że aplikacja jednak nie jest obowiązkowa, co kłóci się z informacjami przekazanymi nam przez PKOl: „aplikacja jest zatem koniecznym wymogiem dla wszystkich uczestników tego wydarzenia”. Międzynarodowy komitet dodaje, że MY2022 jest przeznaczona nie tylko dla użytkowników spoza Chin, ale także osób z tego kraju. „Użytkownicy mogą ją dowolnie konfigurować” - tłumaczy MKOl.
Kontrowersje wokół igrzysk w Chinach
Należy mieć na uwadze, że organizacja Igrzysk Olimpijskich w Chinach wzbudziła spore kontrowersje. Wystarczy wspomnieć, że dokładnie rok temu 180 organizacji zajmujących się prawami człowieka wezwało państwa do bojkotu imprezy. Dlaczego? Ich zdaniem wydarzenie legitymizuje reżim, który jest powiązany z ludobójstwem i prześladowaniami Ujgurów. W efekcie niektóre kraje, jak Kanada czy USA, rzeczywiście zobowiązały się do bojkotu IO, ale na poziomie dyplomatycznym (ich delegaci nie będą obecni w Pekinie podczas wydarzenia).
Co więcej, Międzynarodowy Komitet Olimpijski (MKOl), który jest odpowiedzialny za organizację zimowych igrzysk w Pekinie, był krytykowany za nieprzestrzeganie praw człowieka. W grudniu ubiegłego roku Izba Reprezentantów w USA jednogłośnie potępiła organizację i stwierdziła, że naruszyła własne zobowiązania dotyczące praw człowieka poprzez współpracę z chińskim rządem.
Warto także odnieść się do sytuacji, jaka miała miejsce w samych Chinach. Tamtejsze prawo mówi o podjęciu współpracy z rządem w przypadku wystąpienia sytuacji, mającej znaczenie dla bezpieczeństwa i interesów narodowych. „Niejasne definicje treści uznawanych za zakazane często określa się mianem >>przestępczości kieszonkowej<<, ponieważ rząd w Pekinie może w ten sposób każde działanie uznać za łamiące prawo” - wskazują eksperci Citizen Lab.
Zimowe Igrzyska Olimpijskie 2022 odbędą się w dniach 4-20 lutego br. w Pekinie.
Czytaj też
Chcemy być także bliżej Państwa - czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać - zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.