W zeszłym roku mieliśmy Letnie Igrzyska Olimpijskie w Tokio, w tym mamy Zimowe Igrzyska Olimpijskie w Pekinie. I choć, odnoszę takie wrażenie, mało się o nich mówi, to bez wątpienia Chinom zależy na rozgłosie - choć nie do końca jestem przekonany, czy o taki rozgłos chodziło.
Jeśli ktoś wybiera się na Zimowe Igrzyska Olimpijskie do Pekinu, będzie musiał na swoim smartfonie zainstalować aplikację mobilną MY2022. Mająca być elektronicznym przewodnikiem po Igrzyskach i samym mieście, okazuje się być narzędziem, które w niepowołanych rękach może wyrządzić wiele szkód. Także zagranicznym uczestnikom wydarzenia. A wszystko za sprawą wątpliwej jakości zabezpieczeniom, które jej towarzyszą. A bezpieczeństwo powinno być jej priorytetem, gdyż aplikacja wymagać ma m.in. podania istotnych danych - zarówno osobowych, jak i medycznych.
Przed aplikacją ostrzega m.in. kanadyjski Citizen Lab - ten sam, który informował o przypadkach stosowania narzędzi inwigilacyjnych w Polsce. O Pegasusie, którym mieli być podsłuchiwani m.in. polityk opozycji, krytyczna wobec władzy pani prokurator oraz adwokat, który w przeszłości był czynnym politykiem i współtworzył koalicję rządzącą z obecną władzą, pisaliśmy kilkukrotnie. Ostatnio w kwestii kryptonimu ORZELBIALY czy rozwiewaliśmy wątpliwości na temat domniemanego kodu źródłowego narzędzia dostępnego na GitHub. Choć powołana przez Senat Rzeczypospolitej Polskiej Komisja nadzwyczajna ds. nielegalnej inwigilacji wysłuchała ekspertów z Kanady, o sprawie wciąż niewiele wiadomo.
Wracając jednak do aplikacji na Zimowe Igrzyska Olimpijskie w Pekinie. To właśnie eksperci z Citizen Lab ją przebadali - zarówno w wersji na Androida, jak i iOS. I, niestety, nie mają dobrych informacji. Zastosowane w niej rozwiązania w żaden sposób nie chronią danych jej użytkowników. MY2022 nie posiada żadnego szyfrowania w trakcie transferu danych na zewnętrzne serwery. Jak podają pracownicy kanadyjskiego laboratorium, nic więc nie stoi na przeszkodzie, by je po drodze przejąć i wykorzystać w zupełnie innych celach.
Citizen Lab kontaktowało się z chińskim komitetem organizacyjnym, jednak ten w żaden sposób nie zareagował. Martwi tym bardziej fakt, że najnowsze aktualizacje wprowadzają do MY2022 dodatkowe funkcjonalności, w tym tzw. Green Health Code. W niej przechowywane są dokumenty podróżne oraz informacje zdrowotne użytkownika aplikacji. Podobnie jak pozostałe informacje, nie są one w skuteczny sposób chronione przed nieautoryzowanym dostępem. Nie dziwi więc fakt, że niektóre kraje, w tym Stany Zjednoczone, Niemcy, Wielka Brytania, czy Australia zalecają swoim reprezentantom pozostawienie prywatnych urządzeń mobilnych w domach. Holandia poszła jeszcze dalej. Tamtejszy Komitet Olimpijski dostarczyć ma swojej kadrze oraz ekipie udającej się do Pekinu tymczasowy sprzęt elektroniczny, który po powrocie do kraju ma zostać zniszczony. Wszystko to ze względu na wątpliwe chińskie standardy bezpieczeństwa danych i prywatności.
Co ciekawe, eksperci z kanadyjskiego laboratorium przyglądając się aplikacji w wersji na Androida natknęli się też na plik illegalwords.txt. Jak możecie się domyślać, jest zbiorem cenzurowanych słów i zwrotów. I choć nie znajduje on zastosowania w samej apce, zastanawia jego obecność. Przypomina to sytuację Xiaomi, które oskarżane było o prowadzenie cenzury na swoich smartfonach. Niedawno okazało się jednak, że te oskarżenia były bezpodstawne - niemieccy eksperci nie znaleźli dowodów na tego typu działania.
Stock Image from Depositphotos.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
