П'ятниця, Тра 27, 2022
Велика Епоха
Ukrainian Edition

Пекін змушує олімпійських спортсменів користуватися контрольованим державою додатком

Вівторок, 25 січня 2022 року
Додаток My-2022. (FRANCOIS-XAVIER MARIT/AFP via Getty Images)

Пекін хоче відстежувати дані про здоров'я спортсменів зимових Олімпійських ігор за допомогою так званої програми COVID. Проте дослідники та асоціації спортсменів попереджають про значні прогалини у безпеці додатку та цензурі.

Спортсмени, які беруть участь у зимових Олімпійських іграх 2022 року в Пекіні, нині завершують підготовку до Ігор, які розпочнуться 4 лютого. Але перед від'їздом до Пекіна вони повинні завантажити додаток, контрольований Комуністичною партією Китаю (КПК).

Додаток, що отримав назву «Мій 2022» («冬奥通»), переважно використовується для моніторингу даних про стан здоров'я спортсменів у зв'язку з COVID-19. Однак розробники мають серйозні побоювання з приводу безпеки програми, оскільки спортсмени технічно відстежуються і піддаються цензурі.

«Політично чутливі» теми, такі як різанина на площі Тяньаньмень у 1989 році або переслідування меншин та релігійних груп, занесені до списку цензури у додатку. Це дозволяє китайській владі відстежувати користувачів і за необхідності карати їх.

Крім того, спортивні асоціації також побоюються, що програма може маніпулювати результатами щоденних тестів на коронавірус. Вони звинувачують Міжнародний олімпійський комітет (МОК) у безвідповідальності стосовно спортсменів, змушуючи їх використовувати програму.

Без застосування вхід заборонено

У 2021 році організатори Ігор у Пекіні випустили два довідники з COVID. За їхніми словами, всі, хто приїде на Ігри, мають завантажити програму, щоб взагалі потрапити до Китаю.

Спортсмени повинні внести особисту інформацію, таку як статус вакцинації та загальну інформацію про стан здоров'я. Крім того, щодня слід вводити температуру тіла та результати тестів на COVID.

Але програма може набагато більше. Організатори спортивного заходу рекомендують використовувати My 2022 для спілкування спортсменів та персоналу. Крім того, були вбудовані функції перекладу та основна інформація для перебування під час ігор.

Проте те, що звучить як ідеальний додаток для спортсменів, приховує величезні проломи у безпеці, про що кілька днів тому повідомила дослідницька група з Університету Торонто.

Згідно з аналізом Citizen Lab, My 2022 відносно відкрито говорить про типи даних, які він збирає від користувачів у своїх загальнодоступних документах. Однак програма збирає дуже конфіденційну медичну інформацію, і неясно, з ким чи з якими організаціями вона ділиться цією інформацією.

Крім того, шифрування програми можна "легко обійти", що робить користувачів вразливими для атак сторонніх, які можуть вкрасти їхню особисту інформацію про здоров'я та інші конфіденційні дані.

Митні форми здоров'я, паспортні дані, демографічна інформація, а також історія хвороби та подорожей можуть бути надіслані та вразливі для крадіжки даних.

За словами дослідників, відповіді сервера можуть бути підроблені, що дозволяє хакеру відображати підроблені інструкції для користувачів.

Немає перевірки SSL

Для внутрішніх користувачів My 2022 збирає особисту інформацію, таку як ім'я, національний ідентифікаційний номер, номер телефону, адресу електронної пошти, зображення профілю та інформацію про зайнятість. Ці дані будуть передані до пекінського оргкомітету Олімпійських ігор 2022 року.

Для іноземних користувачів програма збирає іншу особисту інформацію, включаючи демографічні дані та паспортні дані (дати видачі та закінчення терміну дії), а також організацію, якій вони належать.

Скриншот із програми My 2022 в Apple Store. (Epoch Times)

Сам My 2022 описує, що він розкриватиме особисту інформацію без згоди користувачів, коли це стосується питань національної безпеки, інцидентів у галузі охорони здоров'я та кримінальних розслідувань.

Проте, за даними Citizen Lab, у політиці конфіденційності не вказано, чи гарантується кожне розкриття інформації судом, чи які організації можуть отримати інформацію.

Канадські дослідники бачать значну прогалину в безпеці в тому, що програма не перевіряє SSL-сертифікати. Це може дозволити потенційним хакерам обдурити довірені сервери, втрутившись у зв'язок між програмою та цими серверами.

Відсутність цієї перевірки означає, що програма може бути обманом підключена до шкідливого хосту, вважаючи, що це надійний хост.

Скриншот огляду програми Мій 2022. (Epoch Times)

Це може перехопити інформацію, що передається програмою на сервер, і дозволити застосунку відображати підроблений контент, який здається, що виходить від довірених серверів.

Цензура «політично чутливого» контенту

Ще один момент полягає в тому, що програма включає функції, які дозволяють користувачам повідомляти про «політично чутливий» контент. Існує також список ключових слів цензури. За словами Citizen Lab, хоча цей список неактивний, він націлений на багато політичних питань.

My 2022 має функцію чату в реальному часі, стрічку новин і передачу файлів. У версії програми для Android дослідники виявили файл "illegalwords.txt", що містить список із 2442 ключових слів. Вони зазвичай вважаються політично чутливими у Китаї.

Однак Citizen Lab не вдалося визначити, чи є список повністю неактивним або він як і раніше навмисно неактивний. Проте програма містить кодові функції, які дозволяють використовувати цей список для цензури, хоча ці функції не викликаються.

Коли список активний, функції коду можуть блокувати надсилання користувачами повідомлень, що містять ці слова. Це інструмент, що широко використовується для цензури контенту в китайських соціальних мережах, пише Citizen Lab.

Більшість із 2442 ключових слів написана спрощеною китайською мовою, а невелика частина — тибетською, уйгурською, традиційною китайською та англійською мовами.

Політично мотивовані ключові слова включають негативні посилання на китайську політичну систему та внутрішньопартійну боротьбу за владу, наприклад, боротьбу за владу між колишніми лідерами партії Ху Цзіньтао та Цзян Цземінем ("胡江内斗").

Медитативна практика Фалунь Дафа (також звана Фалуньгун), яка заборонена в Китаї, також згадується у списку, зі словами "Фалунь Дафа - це добре" ("法轮大法好"). Рух Тяньаньмень 1989 року також входить до числа небажаних термінів ("Tiananmen потерпілий").

Проте дослідники не здивовані своїми висновками. У Китаї, кажуть вони, немає ані законів, ані спеціальних органів, які стежать за збиранням та захистом персональних даних приватними компаніями.

Мій 2022 також був розроблений китайською державною компанією під назвою Beijing Financial Holdings Group, а не самим пекінським оргкомітетом, як вони стверджують.

МОК відхиляє звіт

Як повідомляє Reuters, Міжнародний олімпійський комітет (МОК) і влада Пекіна відкинула звіт Citizen Lab. Вони стверджують, що заходи щодо забезпечення конфіденційності у додатку відповідають міжнародним стандартам та китайському законодавству.

"Користувач може контролювати, до чого програма My 2022 може отримати доступ на своєму пристрої", — йдеться в заяві МОК для Deutsche Welle. Програма "Мій 2022" є важливим інструментом "у наборі інструментів для боротьби з COVID-19".

Як повідомляє Deutsche Welle, китайські офіційні особи пригрозили покаранням тим, хто порушує політичні норми Комуністичної партії Китаю. Таким чином, безпека Citizen Lab побоюється, що програма буде відслідковувати і цензурувати користувачів, що є тривожним сигналом.

Команда США порадила своїм спортсменам везти до Китаю не особисті пристрої, а одноразові мобільні телефони. Вони побоюються, що китайська влада може відстежувати пристрої та заражати їх шкідливими програмами, повідомляє Wall Street Journal.

Олімпійські чиновники з Нідерландів, Канади, Великої Британії, Бельгії та Австралії також порадили спортсменам не брати із собою особисті телефони чи пристрої до Китаю.

За матеріалами Epoch Times Europe GmbH