A 2022-es pekingi téli olimpia minden résztvevője által kötelezően használandó alkalmazás olyan hibát tartalmaz, amely lehetővé teszi az érzékeny adatok titkosításának megkerülését – állítja egy kanadai kutatók által készített új tanulmány. A tanulmány szerint az alkalmazás cenzúrázza a kínai hatóságok által az etnikai és vallási kisebbségi csoportokkal szemben elkövetett emberi jogi visszaélésekkel kapcsolatos szavakat is.
A Citizen Lab, a Torontói Egyetem Munk School of Global Affairs and Public Policy globális biztonsági kutatóintézete január 18-án tette közzé a tanulmányt, amelyben a MY2022 nevű alkalmazást elemzi.
A pekingi téli olimpia minden résztvevőjének, beleértve a sportolókat, a nézőket és az újságírókat is, telepítenie kell az alkalmazást, hogy részt vehessen a játékokon.
Felhasználói adatok szivárgásával kapcsolatos aggodalmak
Kína a játékok minden nemzetközi és belföldi résztvevőjétől megköveteli, hogy 14 nappal az érkezésük előtt töltse le az alkalmazást. A felhasználóknak az alkalmazáson keresztül az egészségügyi állapotukat napi szinten nyomon kell követniük és el kell küldeniük.
A Citizen Lab jelentése szerint az alkalmazás – amely összegyűjti a felhasználók nem nyilvános és számos rendkívül érzékeny orvosi adatát – tartalmaz egy „egyszerű, de durva hibát”, amely lehetővé teszi, hogy az információkat védő titkosítást „triviális módon megkerüljék”.
„A MY2022 nem érvényesíti az SSL-tanúsítványokat, így nem lehet ellenőrizni, hogy kinek küld érzékeny, titkosított adatokat” – írta Jeffrey Knockel kutató.
„Az érvényesítés elmulasztása azt jelenti, hogy az alkalmazás megtéveszthető, hogy rosszindulatú célállomáshoz csatlakozzon, miközben azt hiszi, hogy az a célállomás megbízható, így az alkalmazás által a szervereknek továbbított információk lehallgathatók” – írta, hozzátéve, hogy a sebezhetőségek az alkalmazás iOS és Android verziójában is léteznek.
Cenzúrázott szavak
A MY2022 az Apple App Store-ban lévő leírása szerint a mobilalkalmazás számos kommunikációs funkciót, például azonnali üzenetküldést és egyéb információs szolgáltatásokat kínál az utazással, szállással és étkezéssel kapcsolatban.
A Citizen Lab kutatói azonban felfedeztek egy „illegalwords.txt” nevű fájlt a MY2022 Android verziójában, amely egy több mint 2400 kulcsszavas listát tartalmaz, amelyet általában politikai szempontból érzékenynek tartanak a Kínai Kommunista Pártban (KKP) – közölte az intézet.
A cenzúrázott kulcsszavak között szerepeltek a „Fálun Gong”, az „Ujgur Világkongresszus”, a „Tibet szabadsága” és a „Tiananmen mészárlás” kifejezések, amelyek a KKP által üldözött etnikai és vallási kisebbségi csoportokra és a kínai rezsim által elkövetett emberi jogi atrocitásokra utalnak.
A listában megtalálható a The Epoch Times és a testvérmédiuma, a New Tang Dynasty Television kínai megfelelője is.
A Citizen Lab szerint figyelemre méltó, hogy a lista semleges utalásokat tartalmaz jelenlegi és korábbi kínai vezetők, valamint kormányzati szervek nevére is.
A tiltott kulcsszavak nagy része egyszerűsített kínai nyelven szerepel, egy kisebb részük tibeti, ujgur, hagyományos kínai és angol nyelven. A kulcsszavak többsége pornográfiára, káromkodásra és illegális árukra utal, amelyek hasonlóan tiltottak más kínai alkalmazásokban is, amelyeket a The Citizen Lab korábbi tanulmányai szerint felfedeztek.
„A Kínában működő internetes platformok törvényileg kötelesek ellenőrizni a platformjukon keresztül közölt tartalmakat, különben büntetésre számíthatnak” – írta Knockel.
„A tiltott tartalmak homályos meghatározását gyakran „zsebbűncselekményeknek” nevezik, utalva arra, hogy a hatóságok bármilyen cselekményt bűncselekménynek minősíthetnek. Az ilyen bűncselekményeket a kínai kormány arra használja fel, hogy korlátozza a politikai és vallási véleménynyilvánítást az interneten keresztül.”
Nincs válasz
A Citizen Lab közölte, hogy 2021. december 3-án tájékoztatta a 2022-es olimpiai és paralimpiai téli játékok pekingi szervezőbizottságát a MY2022 biztonsági kérdéseiről. A kutatóintézet 2022. január 18-ig nem kapott választ. Megjegyezték azt is, hogy az alkalmazás fejlesztői 2022. január 17-én frissítést adtak ki, de a biztonsági rések továbbra is megoldatlanok maradtak.
Az intézet hozzátette, hogy Kína történelmi jelentőséggel ássa alá a titkosítási technológiát, hogy „politikai cenzúrát és megfigyelést hajtson végre”, és ismert arról is, hogy kihasználja „a titkosítatlan hálózati kommunikációt a közbeékelődéses támadások indítására”.
Bár ez kérdéseket vet fel azzal kapcsolatban, hogy a MY2022 titkosítását „szándékosan szabotálták-e megfigyelési céllal, vagy a hiba a fejlesztő hanyagságából adódott”, a jelentés szerint a MY2022 titkosításának szándékos szabotálása problematikus, mivel az alkalmazáson keresztül gyűjtött adatokat már közvetlenül a kormánynak küldik.
„Bár lehetséges, hogy az egészségügyi információk titkosításának gyengesége járulékos kár volt a más típusú adatok titkosításának szándékos gyengítéséből adódóan, amelyek lehallgatásához a kínai kormányzatnak érdeke fűződhet, korábbi munkánk arra utal, hogy a felhasználói adatok elégtelen védelme népbetegségnek számít a kínai alkalmazás-ökoszisztémában”.
„Míg egyes munkák szándékosságot tulajdonítottak a kínai alkalmazásokban felfedezett gyenge szoftverbiztonságnak, úgy véljük, hogy a biztonság ilyen széles körű hiánya kevésbé valószínű, hogy mind egy hatalmas kormányzati összeesküvés eredményei, hanem inkább egy egyszerűbb okból adódnak, például a kínai szoftverfejlesztők eltérő prioritásainak eredményei.”
Forrás:
https://www.theepochtimes.com/chinas-app-for-olympians…
Kép: NTD China in Focus
