Η App My2022 είναι υποχρεωτική στους χειμερινούς Ολυμπιακούς Αγώνες του Πεκίνου. Έχει όμως σοβαρά κενά ασφαλείας, σύμφωνα με αποκλειστικό ρεπορτάζ της DW.Η αντίστροφη μέτρηση έχει αρχίσει για τους χειμερινούς Ολυμπιακούς Αγώνες του Πεκίνου. Η τελετή έναρξης έχει προγραμματιστεί για τις 4 Φεβρουαρίου. Μία «ιδιαιτερότητα» της φετινής διοργάνωσης είναι ότι, προκειμένου να τηρηθούν τα απαραίτητα υγειονομικά μέτρα λόγω πανδημίας, όσοι ταξιδέψουν στο Πεκίνο καλούνται να εγκαταστήσουν στα κινητά τους τηλέφωνα την εφαρμογή «My 2022». Η εφαρμογή δεν είναι ακριβώς υποχρεωτική, αλλά η εναλλακτική λύση θα ήταν ελάχιστα πρακτική: οι ενδιαφερόμενοι θα έπρεπε να καταγράψουν τα στοιχεία τους σε μία ιστοσελίδα και να επιδεικνύουν παντού ένα QR Code. Τι συμβαίνει όμως με την «My 2022»; Όπως προκύπτει από έρευνα του Citizen Lab που έχει περιέλθει στην κατοχή της Deutsche Welle, η εφαρμογή αυτή παρουσιάζει κενά στην κωδικοποίηση των προσωπικών στοιχείων, με αποτέλεσμα να κινδυνεύουν από τους χάκερ οι αθλητές, οι δημοσιογράφοι, αλλά και οι αθλητικοί παράγοντες ή άλλοι αξιωματούχοι που θα παραβρεθούν στους αγώνες.

Ούτως ή άλλως η ασφάλεια δεδομένων σε αυτούς τους Ολυμπιακούς Αγώνες θεωρείται μάλλον προβληματική. Η Γερμανία, η Αυστραλία, η Μ.Βρετανία και οι ΗΠΑ απευθύνουν έκκληση σε αθλητές τους που συμμετέχουν στη διοργάνωση, να μην πάρουν μαζί τους ιδιωτικές συσκευές τηλεφώνου, ούτε προσωπικούς υπολογιστές. Μάλιστα η ολλανδική αποστολή δεν περιορίζεται σε συστάσεις, αλλά απαγορεύει στους αθλητές που ταξιδεύουν στο Πεκίνο να έχουν μαζί τους δικές τους συσκευές. Τόσο έντονος είναι ο φόβος της «ψηφιακής κατασκοπείας», ώστε οι αθλητές καλούνται να προμηθευτούν νέες συσκευές, τις οποίες θα χρησιμοποιήσουν μόνο στους Ολυμπιακούς Αγώνες.

Ιχνηλάτηση επαφών και …άλλα πολλά

Είναι η δεύτερη διοργάνωση σε εποχές πανδημίας, μετά τους θερινούς Ολυμπιακούς Αγώνες του Τόκιο, που έγιναν το περασμένο καλοκαίρι. Κατά συνέπεια δεν εκπλήσσει το ότι οι αθλητές καλούνται να εγκαταστήσουν στα κινητά τους την εφαρμογή. Το ίδιο είχε γίνει και στο Τόκιο με στόχο την καλύτερη δυνατή ιχνηλάτηση πιθανών κρουσμάτων. Σύμφωνα με το επίσημο εγχειρίδιο (playbook) της Διεθνούς Ολυμπιακής Επιτροπής (ΔΟΕ) τα στοιχεία τους θα πρέπει να καταθέσουν στην εφαρμογή- ή στην ιστοσελίδα των διοργανωτών, εάν το επιθυμούν- όχι μόνον οι τους αθλητές, αλλά επίσης προπονητές, αθλητικοί παράγοντες, δημοσιογράφοι, καθώς και οι τοπικοί συνεργάτες της διοργάνωσης. Η εν λόγω εφαρμογή περιέχει προσωπικά στοιχεία, αλλά και ιατρικά δεδομένα, για παράδειγμα περιέχει πληροφορίες για το αν κανείς εμφανίζει πυρετό, ξηρό βήχα, πονόλαιμο, διάρροια ή άλλες ενοχλήσεις, που ίσως αποτελούν συμπτώματα της πανδημίας. Όποιος ταξιδεύει στο Πεκίνο από το εξωτερικό, υποχρεώνεται μάλιστα να αρχίσει την ενημέρωση της App 14 ημέρες πριν από την άφιξή του στην κινεζική πρωτεύουσα.

Σε πολλές χώρες μία App εξασφαλίζει την αποτελεσματική ιχνηλάτηση του κορωνοϊού. Όμως η κινεζική My2022 έχει πολύ μεγαλύτερο πεδίο εφαρμογής από μία απλή ιχνηλάτηση. Μεταξύ άλλων η εφαρμογή αυτή ρυθμίζει τις άδειες εισόδου στις ολυμπιακές εγκαστάσεις, προσφέρει τουριστικές πληροφορίες και news feeds, ενώ περιέχει ακόμη και δικό της chat για κείμενα και ηχητικά μηνύματα. Στόχος της είναι, σύμφωνα με το εγχειρίδιο των διοργανωτών, «να απολαύσουν όλοι οι χρήστες τις πιο διαφορετικές πτυχές των Ολυμπιακών Αγώνων».

Μεταφορά δεδομένων χωρίς ασφάλεια

Τα κενά ασφαλείας στην κινεζική App αποκάλυψαν ερευνητές του επιστημονικού κέντρου Citizen Lab, που συνδέεται με το Munk School of Global Affairs στο Πανεπιστήμιο του Τορόντο και ερευνά την ασφάλεια των ψηφιακών δεδομένων σε συνάρτηση με τον σεβασμό των ατομικών ελευθεριών και των ανθρωπίνων δικαιωμάτων. Επιστήμονες του Citizen Lab είχαν συμβάλει και στον εντοπισμό του ισραηλινού λογισμικού Pegasus, το οποίο χρησιμοποιείται για παρακολούθηση και κατασκοπεία κινητών τηλεφώνων. Στην προκειμένη περίπτωση, επισημαίνουν οι ερευνητές, το πρόβλημα ξεκινάει από το ότι δεν έχουν ελεγχθεί επαρκώς τα αποκαλούμενα πιστοποιητικά ασφαλείας SSL (Secure Sockets Layer), τα οποία κρυπτογραφούν πληροφορίες και θεωρητικά διασφαλίζουν ότι η επικοινωνία γίνεται μόνο ανάμεσα σε «αξιόπιστους» διακομιστές. Η παράλειψη αυτή επιτρέπει σε τρίτους να παρέμβουν, υποκλέπτοντας στοιχεία και εγκαθιστώντας δικό τους, κακόβουλο λογισμικό.

Ο συνεργάτης του Citizen Lab Τζέφρεϊ Νόκελ επισημαίνει μάλιστα ότι αυτά τα κενά δεν αφορούν μόνο τα ιατρικά δεδομένα, αλλά και άλλες σημαντικές υπηρεσίες της App, όπως την αποστολή συνημμένων και τα φωνητικά μηνύματα. Επιπλέον, σε μερικές περιπτώσεις τα στοιχεία δεν κρυπτογραφούνται καν, όπως ανακάλυψαν οι ειδικοί του Citizen Lab. «Οι έρευνές μας δείχνουν ότι τα μέτρα ασφαλείας της My2022 είναι εντελώς αναποτελεσματικά και δεν αποτρέπουν τον κίνδυνο να βρεθούν δεδομένα σε χέρια τρίτων» τονίζει ο Νόκελ.

Επιπλέον, οι επιστήμονες ανακάλυψαν μία ενσωματωμένη «λίστα λογοκρισίας». Πρόκειται για ένα αρχείο με τίτλο illegalwords.txt, το οποίο περιέχει 2.442 λέξεις και εφράσεις στην κινεζική γλώσσα, στις γλώσσες ή διαλέκτους που ομιλούνται στο Θιβέτ, το Χονγκ Κονγκ και τις περιοχές του Ουιγούρων, καθώς και στην αγγλική γλώσσα. Οι λέξεις-κλειδιά αφορούν, μεταξύ άλλων, την κριτική στο κομμουνιστικό κόμμα και τους ηγέτες του, την θρησκευτική αίρεση Φαλούν Γκονγκ, τις διαμαρτυρίες στην πλατεία Τιενανμέν το 1989, το κήρυγμα του Δαλάι Λάμα. Ο Τζέφ Νόκελ από το Citizen Lab επισημαίνει: «Αν και μέχρι στιγμής η illegalwords.txt δεν έχει χρησιμοποιηθεί, η εφαρμογή My2022 περιέχει ήδη τους απαραίτητους κώδικες, που μπορούν να διαβάσουν το αρχείο και να ενεργοποιήσουν την λογοκρισία, με ελάχιστη προσπάθεια».

«Καμία αντίδραση» από τις κινεζικές αρχές

Τον Δεκέμβριο του 2021 το Citizen Lab είχε αποστείλει την έκθεση αυτή στη διοργανώτρια επιτροπή των χειμερινών Ολυμπιακών Αγώνων του Πεκίνου με την παράκληση να διευθετήσουν το ζήτημα και να διορθώσουν τα προβληματικά σημεία της App στις επόμενες 45 ημέρες που θα μεσολαβούσαν μέχρι τη δημοσίευσή της. Πρόκειται για μία τακτική συνηθισμένη στους ελέγχους των IT υποδομών. Ωστόσο, λέει ο Τζεφ Νόκελ στην DW, «οι διοργανωτές δεν έχουν απαντήσει στις αποκαλύψεις μας». Η μόνη εξέλιξη ήταν ότι Apple και Google προσφέρουν πλέον, μέσω App-Store, μερικά updates της εφαρμογής. Αλλά και η αναβαθμισμένη εκδοχή δεν έχει βελτιώσει τα προβληματικά σημεία, όπως επισημαίνουν οι επιστήμονες του Citizen Lab μετά από νέα εξέταση της εν λόγω εφαρμογής στις 17 Ιανουαρίου 2022.

Στo εγχειρίδιο (playbook) για τους Αγώνες, η ΔΟΕ αναφέρει ότι η My2022 «τηρεί τις διεθνείς προδιαγραφές και τις διατάξεις του κινεζικού δικαίου». Κι όμως, με βάση τα ευρήματα των ερευνών του το Citizen Lab καταλήγει στο συμπέρασμα ότι η μη ασφαλής κρυπτογράφηση και μεταφορά συνιστά «άμεση παραβίαση της κινεζικής νομοθεσίας περί ασφάλειας των προσωπικών δεδομένων», η οποία προβλέπει ότι τα ιατρικά δεδομένα θα πρέπει να περνούν από κρυπτογράφηση πριν αποθηκευθούν ή αποσταλούν μέσω υπολογιστή. Συν τοις άλλοις όμως, τα ευρήματα του Citizen Lab θέτουν πολλά ερωτήματα για την αντίστοιχη πολιτική ασφάλειας των δυτικών κολοσσών της τεχνολογίας, της Apple και της Google. Σύμφωνα με τις κατευθυντήριες γραμμές της επιχειρηματικής δράσης τους, λέει ο Τζεφ Νόκελ στην DW, «τόσο η Apple όσο και η Google απαγορεύουν την αποστολή ευαίσθητων δεδομένων μέσω App χωρίς επαρκή κρυπτογράφηση. Με βάση όλα αυτά που συμβαίνουν, ας αναλογιστούν μήπως πρέπει να αποσύρουν τη συγκεκριμένη εφαρμογή από τα App Stores».

Από την πλευρά της, η Οργανωτική Επιτροπή των χειμερινών Ολυμπιακών Αγώνων του Πεκίνου αντικρούει την κριτική. Επισημαίνει μάλιστα ότι η App έχει «εξεταστεί με επιτυχία» από επιχειρήσεις, όπως η Google, η Apple και η Samsung.

Όλιβερ Λίνο, Ίνγκο Μάντοιφελ

Επιμέλεια: Γιάννης Παπαδημητρίου