„Šmírovací“ aplikace čínské olympiády budí rozpaky. Hrozí únik dat i cenzura?
Zimní olympiáda v Číně se kvapem blíží, kontroverzí kolem ní se nyní točí více. Pochybnosti vzbuzuje to, že každý účastník musí mít aplikaci MY2022 a už čtrnáct dnů před příletem do Číny do ní každý den zadávat svůj zdravotní stav a teplotu. „Šmírovací aplikace“ má pekingské olympijské bublině na jednu stranu pomoci s klidnějším průběhem s ohledem na pandemii covidu, jenže objevují se stále četnější varování, že tahle aplikace má značné bezpečnostní mezery.
Aplikace MY2022 má být povinnou výbavou všech účastníků her – od sportovců samotných, přes jejich doprovod, po funkcionáře a zástupce médií. Jenže podle analytiků obsahuje mezery ve svém zabezpečení, upozorňuje BBC.
Podle detailní zprávy skupiny pro kybernetickou bezpečnost Citizen Lab čínská aplikace i přesto, že má zjišťovat osobní data od účastníků her, nedokázala zajistit, aby byly dostatečně chráněné přenášené informace, mnohdy citlivého charakteru. Skupina to označuje za jednoduchou, ale „fatální“ chybu.
Čína sice oficiálně popírá, že by měly být spjaté s používáním aplikace jakékoliv obavy, jenže s blížícím se začátkem olympiády nervozita stoupá a s ní i nejasnosti ohledně technického zabezpečení novinky.
Problém se šifrováním a bezpečností
V aplikaci MY2022 lze podle Citizen Lab „triviálně obejít šifrování, jež má chránit přenášené hlasové nahrávky a další soubory uživatelů“. V ohrožení tak mohou být právě zdravotní formuláře a informace o pasových údajích či informace o zdravotní a cestovní anamnéze uživatelů. A nejen to.
„Odpovědi serveru lze také podvrhnout, což útočníkovi umožní zobrazit uživatelům falešné pokyny. MY2022 je poměrně přímočará aplikace, pokud jde o typy dat, která shromažďuje od uživatelů ve svých veřejně přístupných dokumentech. Protože však aplikace shromažďuje řadu vysoce citlivých lékařských informací, není jasné, s kým nebo s jakou organizací (organizacemi) tyto informace sdílí,“ varuje skupina Citizen Lab.
Expert: Posíláte data čínské vládě
Aplikace tak při komunikaci s některými servery neověřuje certifikáty SSL, takže nemůže mít jistotu, zda šifrovaná data posílá skutečně na správný server, upozorňuje server Mobilmania.cz.
„Nejhorší možný scénář je takový, že se někdo dostane k údajům o pasech a k zdravotním záznamům všech uživatelů,“ uvedl pro CTV výzkumník Jeffrey Knockel pro CTV. „Používáním aplikace automaticky posíláte data přímo čínské vládě,“ varoval.
„Hloupé“ telefony místo chytrých a ochrana e-mailů
Padají proto nejrůznější doporučení – třeba to, aby si lidé pro olympijské hry v Pekingu vytvořili speciální e-mailové účty a aplikaci nepropojovali se stávajícími schránkami.
Nebo aby své chytré telefony nechali účastníci doma a namísto nich během olympiády používali postradatelné náhrady. „Hloupé“ telefony staršího typu, které po olympijských hrách používat opět nebudou. Pozor by si lidé měli dávat i na hotelových wi-fi sítích.
Taková doporučení dostali podle USA Today i američtí sportovci – vzít s sebou do dějiště zimní olympiády jen mobily, které budou moci po hrách vyhodit. A nevozit s sebou ani osobní počítače.
Pro západního uživatele aplikace MY2022 může přinést i některé užitečné informace. Jenže za jakou cenu? „Z pohledu evropského uživatele poskytuje aplikace některé bezesporu užitečné informace, které účastník her ocení – například o dopravě, ubytování a stravování. V zemi, kde jsou mnohé služby omezené a běžný roaming na volání a přijímání hovorů je většinou drahý, mohou mít význam i jiné funkce – posílání zpráv a volání přes internet,“ řekl Denníku N Lukáš Kosno z portálu Živě.sk.
„Problém spočívá v tom, že při komunikaci nefungovalo ve všech případech ověření, že probíhá mezi dvěma legitimními stranami. Data tak kdokoli může ‚odchytit‘ nebo komunikaci pozměnit a zobrazovat uživateli falešná data, přičemž všechno by vypadalo v pořádku. Konkrétní chyba se týkala i posílání demografických informací, detailů z pasu, cestovatelské historie a zdravotních informací, zvukových příloh a jiných souborů,“ varuje Kosno.
Další sledovací nástroj
Čína se snaží dostat pod kontrolu šíření covidu-19 tím, že udrží sportovce a další účastníky her oddělené od čínské populace, jenže aplikace s sebou přináší řadu problémů, varovali pro list New York Times Paul Mozur a Cade Metz v New York Times.
„Aplikace nazvaná MY2022 byla navržena tak, aby posílila tato opatření a umožnila elektronickým spojením mezi vládou a účastníky sledovat kontakt v případě jakýchkoli ohnisek. (...) Aktuální obavy o bezpečnost aplikace však potvrzují širší obavy z cenzury a sledování během her v Číně, která má jeden z nejpropracovanějších a nejsofistikovanějších sledovacích a cenzurních nástrojů na světě,“ pokračují autoři článku. Proč mluví o cenzuře?
Seznam zakázaných slov
Ohledně možné cenzury Citizen Lab ve své zprávě uvádí, že v aplikaci nalezli seznam klíčových slov určených k cenzuře, které znemožní publikování „politicky citlivých“ výrazů. Jde mj. o jména čínských státních představitelů, ale třeba i odkazy na Tibet, Ujgury či zakázanou náboženskou skupinu Falun Gong. A také na kontroverzní momenty z čínské historie včetně masakru na Náměstí nebeského klidu v roce 1989.
„MY2022 obsahuje funkce, které uživatelům umožňují hlásit ‚politicky citlivý‘ obsah. Aplikace také obsahuje seznam klíčových slov pro cenzuru, který, i když je v současnosti neaktivní, se zaměřuje na různá politická témata včetně domácích problémů, jako je Sin-ťiang (ujgurská autonomní oblast – pozn. red.) a Tibet, a také na odkazy na čínské vládní agentury,“ doplňuje zpráva Citizen Lab.
V souboru „illegalwords.txt“, ukrytém v aplikaci, se má nacházet 2422 zakázaných termínů. Čínští představitelé nepřímo nepopírají, že k omezování informací může docházet.
Aplikace jako nástroj propagandy?
„Jsem si jistý, že výroky, které jsou v souladu s olympijským duchem, budou chráněny. Cokoli a jakékoli chování nebo projevy, které jsou proti olympijskému duchu, zejména proti čínským zákonům a nařízením, budou podléhat určitému trestu,“ uvedl BBC Jang Šu za organizátory Pekingu 2022.
„Určitým trestem má být míněno odebrání akreditace neboli prakticky vyhoštění z Číny. Přes všechny tyto ponižující výhrůžky se nějaký větší odpor sportovců a dalších účastníků olympiády nechystá,“ upozorňuje na webu E15.cz komentátor Robert Malecký.
„Vždy když se setká sport s politikou, pohybují se argumenty mezi dvěma vzdálenými extrémy. Podle jednoho by sportovci měli být cosi jako novodobí Spartakové, kteří by měli panstvo bavit svým soupeřením kdo dál, výš a rychleji a do politiky se příliš nemotat. Proti tomu stojí přesvědčení, že některé sdílené humanitní hodnoty mají takový přesah, že se jim nemohou vyhnout ani sportovci. Tím spíš když si čínská vláda udělala z olympiády nástroj své propagandy,“ dodává s tím, že „Čína chystá velkolepou show, jejímž hlavním cílem je propaganda vlastního režimu“.
Nepřekvapivá zjištění
Zjištění ohledně aplikace MY2022 však dle skupiny Citizen Lab zas tak překvapivá nejsou.
„Ve světle našeho předchozího výzkumu nejsou naše zjištění analyzující MY2022 nijak zvlášť překvapivá pro aplikace působící v Číně a pro některé aplikace vyvinuté čínskými společnostmi. Po mnoho let Čína neměla zákony ani konkrétní agentury, které by dohlížely na shromažďování a ochranu osobních údajů soukromých společností. Bylo zjištěno, že čínské aplikace od bankovních aplikací po platformy pro streamování videa nadměrně shromažďují citlivá uživatelská data, často bez souhlasu uživatele,“ upozorňuje Citizen Lab.
1912: Tohle je článek o šmírování na olympiádě v Číně. Co na tom nechápeš? Máš alespoň základní vzdělání?