Da die Olympischen Spiele in Peking nur noch wenige Wochen entfernt sind, nehmen die Bedenken hinsichtlich einer obligatorischen Gesundheits-App für konkurrierende Athleten zu, nachdem a neuer Bericht enthüllte, dass die App Sicherheitslücken und eine Liste von „politisch sensiblen“ Wörtern enthält, die für die Zensur markiert wurden.
Der Prüfbericht, veröffentlicht von der Forschungs- und Strategieeinheit Citizen Lab der Universität von Toronto, stellte fest, dass die My2022-App, die zur Überwachung der Gesundheits- und Reisedaten von Sportlern verwendet wird, einen „verheerenden“ Verschlüsselungsfehler aufweist, der die Dateien und Medien der Benutzer angreifbar macht.
Laut Forschern besteht ein zweifaches Problem: Erstens überprüft die App nicht immer, ob die Server, an die verschlüsselte Daten gesendet werden, die beabsichtigten Server sind, was es böswilligen Akteuren ermöglichen könnte, die Identität dieses Servers zu fälschen oder nachzuahmen, um auf diese Dateien zuzugreifen. Dies könnte es dem Angreifer beispielsweise ermöglichen, „die sensiblen demografischen, Pass-, Reise- und medizinischen Informationen eines Opfers zu lesen, die in einer Zollgesundheitserklärung gesendet wurden, oder einem Opfer nach dem Ausfüllen eines Formulars böswillige Anweisungen zu senden“, heißt es in dem Bericht. Zweitens verschlüsselt die App einige sensible Daten überhaupt nicht. Tatsächlich bedeutet dies, dass einige sensible Daten innerhalb der App, „einschließlich der Namen der Absender und Empfänger von Nachrichten und ihrer Benutzerkontokennungen“, ohne jegliche Sicherheit übertragen werden.
„Solche Daten können von jedem passiven Lauscher gelesen werden, beispielsweise von jemandem in Reichweite eines ungesicherten WLAN-Zugangspunkts, von jemandem, der einen WLAN-Hotspot betreibt, von einem Internetdienstanbieter oder einem anderen Telekommunikationsunternehmen“, heißt es in dem Bericht.
Die Olympischen Spiele in Peking finden bereits unter einer Wolke von Kontroversen statt. Die USA kündigten im Dezember einen diplomatischen Boykott der Spiele wegen anhaltender Menschenrechtsbedenken an, da China weiterhin seine jahrelange Kampagne gegen uigurische Minderheiten leugnet. US-Gesetzgeber haben auch vorgeschlagene neue Gesetzgebung das würde den Steuerbefreiungsstatus des Internationalen Olympischen Komitees (IOC) wegen seiner Weigerung, China wegen seiner Menschenrechtsverletzungen herauszufordern, streichen.
Die Verschlüsselungsfehler in der App haben weitere Bedenken aufgeworfen, aber wie besorgt sollten Gastländer und Athleten sein? Obwohl Experten sagen, dass allgemeine Bedenken hinsichtlich der Überwachung während der Olympischen Spiele und der App gerechtfertigt sind, sind die Sicherheitsmängel der App in Wirklichkeit wahrscheinlich eher auf schlechtes Design als auf finstere Überwachungsabsicht zurückzuführen. Mit anderen Worten, Athleten und andere, die das Land während der Olympischen Spiele besuchen, sollten genauso vorsichtig sein, wie sie es normalerweise bei einem Besuch in China tun würden.
„Das Wichtigste, was Citizen Lab uns gesagt hat, ist, dass hinter unseren Ängsten und Bedenken eine Substanz steckt, aber es stimmt auch, dass wir dazu neigen, China zu dämonisieren“, sagte Jon Callas, Direktor für Technologieprojekte bei Non-Profit Digital Rechtegruppe, die Electronic Frontier Foundation.
Callas und andere Experten sagen, dass die chinesische Regierung die Sicherheitslücke auf jeden Fall beheben sollte, aber dass die Lücke die Athleten nicht unbedingt einem höheren Risiko aussetzt, von der Regierung überwacht zu werden. Und es ist unwahrscheinlich, dass die Verschlüsselung fehlerhaft ist, sagte Kenton Thibaut, der in China ansässige Fellow des Digital Forensic Research Lab des Atlantic Council. Es ist unwahrscheinlich, dass jemand die Verschlüsselung der App absichtlich sabotiert hat, um leichter auf Benutzerinformationen zuzugreifen, betonte sie, da alle Informationen sowieso an die Regierung gehen.
„Wenn Sie chinesische Apps verwenden, auch wenn Sie sich nicht in China befinden, haben sie immer noch Zugriff auf die von Ihnen übermittelten Informationen, da die Daten an einem Ort landen, an dem die Regierung die Kontrolle und den Zugriff darauf hat.“ sagte Thibaut. „Die App selbst wird von einer Regierungsbehörde erstellt, dafür gäbe es keinen Grund.“
Trotzdem seien die Olympischen Spiele ein enorm wichtiges Ereignis für Peking, sagte Thibaut, und es sei fair, ein gewisses Maß an Überwachung zu erwarten, „insbesondere für Athleten, die vielleicht ihren Unmut darüber zum Ausdruck gebracht haben, dass sie sich nicht äußern können, oder ihren Unmut über die IOCs Haltung über China“.
Citizen Lab berichtete, dass es eine Liste mit 2.422 politischen Schlüsselwörtern gab, die in der Codebasis der App als „illegalwords.txt“ beschrieben wurden. Obwohl die Funktion zur Zensur dieser Wörter nicht aktiv zu sein schien, sagte der Bericht, dass die Schlüsselwörter von Verweisen auf Pornografie, Erwähnungen der Tiananmen-Bewegung bis hin zu einigen Wörtern auf Uigurisch reichten, darunter „der Heilige Koran“, „Injektionen“ und „Zwangszerstörungen“. “.
Dies sei nicht unerwartet, sagte Callas. „China blockiert sehr viel Chat von absolut allem und sie werfen ihr Gewicht auf eine Weise herum, die anstößig ist, mit Dingen wie wie oft man sogar erwähnen kann, dass Taiwan existiert“, sagte er. „Sie werden keine freie und uneingeschränkte Meinungsäußerung zulassen, weil sie nicht dieses Land sind.“
„Als wir vereinbarten, die Olympischen Spiele in Peking stattfinden zu lassen, stimmten wir implizit zu, dass dies einige der Dinge sind, die passieren würden“, fuhr er fort.
Es gibt jedoch regelmäßige Vorsichtsmaßnahmen, die diejenigen treffen sollten, die während der Olympischen Spiele oder aus anderen Gründen nach China reisen, sagte Callus. Nationale Olympische Komitees auf der ganzen Welt haben ihre Teams beraten ihre persönlichen Geräte zurückzulassen und stattdessen Burner-Telefone mitzunehmen.
„Es sollte davon ausgegangen werden, dass jeder Text, jede E-Mail, jeder Online-Besuch und jeder Anwendungszugriff überwacht oder kompromittiert werden kann“, sagte das Olympische und Paralympische Komitee der Vereinigten Staaten in einem Gutachten.
Callus sagte, dass dies bei Reisen nach China immer der Fall sein sollte, da alle Ihre persönlichen Daten – von Ihrer Kontaktliste bis zu Ihren Bildern – kompromittiert werden können.
„Ein Grund dafür, dass Sie ein Burner Phone verwenden, ist, dass Ihre Adressbuch-Kontaktliste sensible Informationen enthält – in dem Sinne, dass jeder, der Ihr Adressbuch hat, bis zu einem gewissen Grad Ihr soziales Diagramm hat und wer Sie sind verbunden“, sagt er. „Was wir zum Beispiel aus diesen Snowden-Tropfen vor fast 10 Jahren gelernt haben, ist, dass Regierungen viel mehr daran interessiert sind zu wissen, mit wem Sie verbunden sind und mit wem Sie regelmäßig sprechen, als was Sie sagen.“
Für Athleten, die mit ihrer Familie oder Freunden außerhalb des Landes kommunizieren möchten – insbesondere, da Familien aufgrund von Covid nicht an den Olympischen Spielen teilnehmen dürfen – sagte Callus, sie sollten eine „angemessen sichere“ verschlüsselte Messaging-App wie iMessage, Signal oder WhatsApp verwenden.
„Wenn die Chinesen [government] hat es nicht heruntergefahren, es ist wahrscheinlich in Ordnung “, sagte er. „Das ist wahrscheinlich die beste Art, mit den Leuten zu Hause zu sprechen.“