Sportisti širom svijeta trenutno se pripremaju za put na Zimske olimpijske igre u Pekingu. Ove godine to podrazumijeva i poštovanje važećih zdravstvenih propisa. Pri tom sportisti moraju da instaliraju zvaničnu aplikaciju pod nazivom „MY2022“ na svojim pametnim telefonima.
Međutim, ta aplikacija nedovoljno šifrira podatke, navodi se u izveštaju „Sitizen lab“ (Citizen Lab). To dovodi sportiste, novinare i zvaničnike u ozbiljnu opasnost od hakera. Njihova privatnost nije zaštićena, a njihovi podaci nijesu zaštićeni od krađe i nadzora. Pored toga, IT-forenzičari su u aplikaciji pronašli i spisak cenzurisanih pojmova.
Bezbjednost podataka na Zimskim olimpijskim igrama u Pekingu ionako se kritikuje: Njemačka, Australija, Velika Britanija i SAD pozivaju svoje nacionalne olimpijske odbore i svoje sportiste da privatne telefone i laptop-računare ostave kod kuće. Umjesto toga, sa sobom bi trebalo da ponesu posebne uređaje samo za Olimpijske igre – toliko je veliki strah od digitalne špijunaže.
Upravo iz tog razloga, Olimpijski komitet Holandije čak je izričito zabranio svojim sportistima da nose lične mobilne telefone i laptop-računare u Kinu.
Aplikacija "MY2022": Praćenje kontakata i još mnogo više
Zimske olimpijske igre počinju 4. februara i biće druge koje se održavaju u vrijeme pandemije koronavirusa. Zato ne čudi što postoji aplikacija za pametne telefone – korišćena je i prošle godine na Ljetnjim olimpijskim igrama, kako bi mogla da se prati eventualna infekcija.
Prema zvaničnom pravilniku Međunarodnog olimpijskog komiteta (MOK), obaveza njenog instaliranja odnosi se na sve koji će biti u posebnom "olimpijskom balonu" – dakle za sportiste, trenere, novinare, sportske funkcionere, kao i hiljade lokalnih službenika, koji moraju da unesu svoje zdravstvene podatke u aplikaciju "MY2022" ili na internet-stranicu.
Aplikacija razvijena u Kini trebalo bi u stvari da služi za nadgledanje zdravlja učesnika Olimpijskih igara i praćenje kontakata u slučaju pozitivnih testova na koronu.
U aplikaciju ne moraju da se unesu samo podaci iz pasoša i lični podaci o statusu putovanja, već i veoma privatni i osjetljivi medicinski podaci. Na primjer: da li ste nedavno patili od simptoma karakterističnih za kovid 19 kao što su temperatura, umor, glavobolja, suvi kašalj, proliv ili grlobolja. Onaj ko dolazi iz inostranstva, mora da počne da unosi zdravstvene podatke u aplikaciju 14 dana prije ulaska u zemlju.
Praćenje kontakata bazirano na aplikacijama u mnogim zemljama smatra se modernim načinom borbe protiv pandemije korone. Ipak, kineska aplikacija "My2022" omogućava više od samo praćenja kontakata: ona takođe reguliše i dozvolu pristupa olimpijskim događajima, posjetiocima nudi opsežne informacije o programu i organizaciji sportskog događaja, nudi turističke usluge posjetiocima, pa čak ima i funkciju četa (u tekstualnom i audio-obliku), vijesti i prenos datoteka za korisnike.
Ili, kao što se navodi u Eplovog ep-stora: aplikacija nudi mogućnost prilagođavanja postavki za različite tipove korisnika "kako biste u jednoj aplikaciji uživali u svim stranama Olimpijskih igara".
Nesiguran prenos podataka u aplikaciji
Bezbjednosne propuste u aplikaciji otkrili su naučnici iz "Sitizen lab" koji istražuju digitalnu bezbjednosti u vezi sa pitanjima ljudskih prava, a povezani su sa Mankovom školom globalnih poslova (Munk School of Global Affairs) pri Univerzitetu u Torontu. "Sitizen lab" je već bio uključen u otkrivanje špijunskog softvera "Pegaz" (Pegasus).
Konkretna kritike te laboratorije odnosi se na tzv. "SSL-certifikate", koji obezbjeđuju da se prilikom transfera podataka komunikacija odvija samo između pouzdanih uređaja i servera – kineska aplikacija, prema navodima "Sitizen laba", ne provjerava njihovu valjanost, što predstavlja ozbiljnu bezbjednosnu rupu. Kao rezultat toga, aplikacija bi mogla da bude prevarena pa da komunicira sa "zlonamjernim računarom", tako da se podaci presrijeću ili se čak štetni podaci šalju nazad u aplikaciju.
Džefri Kokel iz "Sitizen laba" pronašao je taj bezbjednosni propust ne samo u pogledu zdravstvenih podataka, već i u drugim važnim uslugama u aplikaciji. To se takođe odnosi i na uslugu aplikacije koje obrađuje sve atačment-datoteke i glasovne poruke.
Uz to, IT-stručnjak je otkrio je i da za neke usluge transfer podataka u aplikaciji uopšte nije šifriran, pa tako metapodatke sa čet-servisa aplikacije napadač veoma lako može da pročita.
"Naše istrage su pokazale da su bezbjednosne mjere aplikacije ’My20220 potpuno neefikasne i da ne štite od curenja osjetljivih podataka trećim, neovlašćenim stranama", navodi Nokel.
Bez reakcije kineskog Olimpijskog komiteta o bezbjednosnim propustima
Početkom decembra 2021. "Sitizen lab" je o svojim saznanjima poverljivo obavijestio kineski Organizacioni odbor Olimpijskih igara. Kao što je uobičajeno prilikom prijavljivanja bezbjednosnih propusta, oni su od kineskih organizatora Olimpijskih igara zatražili da u roku od 45 dana poprave opasne propuste, prije nego što izvještaj bude objavljen.
"Organizacioni odbor do sada nije odgovorio na naša otkrića", rekao je Nokel za DW.
U međuvremenu je aplikacija ponuđena i u Ep-storovima , ali provjerom koju su uradili eksperti za bezbjednost "Sitizen laba" 17. januara 2022. nijesu pronađene nikakve promjene vezane za cenzurisane pojmove i spomenute bezbjednosne propuste.
Kršenje zakona i propisa
U priručniku za sportiste i zvaničnike, Međunarodni olimpijski komitet navodi da je aplikacija "My2022" "u skladu s međunarodnim standardima i kineskim zakonom".
Međutim, na osnovu svojih otkrića, "Sitizen lab" zaključuje da bi nezaštićeni prenos ličnih podataka "mogao da predstavlja direktno kršenje kineskih zakona o privatnosti". U Kini naime, prema pravilima o zaštiti podataka, informacije koje utiču na zdravlje osobe moraju uvijek da se čuvaju i prenose u šifriranom obliku.
Rezultati izveštaja "Sitizen laba" takođe otvaraju brojna pitanja i za zapadne tehnološke gigante koji nude "My2022" – Epl i Gugl. "Prema smjernicama, kako Epla, tako i Gugla, zabranjeno je da aplikacije prenose osjetljive podatke bez odgovarajuće enkripcije. Obje firme sada moraju da odluče da li će neriješeni bezbjednosni problemi da rezultiraju brisanjem (aplikacije MY2022) iz njihovih prodavnica", rekao je Nokel za DW.
Organizacioni komitet Igara u Pekingu 2022. brani međutim aplikaciju, ističući da su je "uspješno testirale" kompanije poput Gugla, Epla i Samsunga. "Da bismo zaštitili privatne podatke, preduzeli smo mjere kao što je šifrovanje ličnih podataka", saopštio je Komitet u ponedeljak novinskoj agenciji Sinhua.
