Kina spiunon pjesëmarrësit në lojërat Olimpike Dimërore të Pekinit, aplikacioni ‘My 2022’ me boshllëqe serioze sigurie

Kushdo që udhëton në Kinë për Olimpiadën Dimërore të Pekinit duhet të dokumentojë gjendjen e tij shëndetësore në “My 2022”. Por, aplikacionin ka boshllëqe serioze sigurie, konstatohet në një raport për sigurinë kibernetike.

Sportistë nga e gjithë bota po përgatiten për të marrë pjesë në Olimpiada 2022. Këtë vit këtu bën pjesë edhe respektimi i rregullave përkatëse shëndetësore. Është e detyrueshme, që atletët të instalojnë në telefonat e tyre aplikacionin zyrtar të quajtur “My 2022”. Por, aplikacioni ka mangësi në kodimin e të dhënave. Këtë e pohon një raport i Citizen Lab, të cilin e disponon ekskluzivisht Deutsche Welle.

Një gjë e tillë i vë atletët, gazetarët dhe funksionarët e sportit në rrezik serioz nga hakerat. Privatësia e tyre nuk mbrohet dhe të dhënat e tyre nuk janë të mbrojtura nga vjedhja dhe vëzhgimi. Për më tepër specialistë të forenzikës kibernetike zbuluan se aplikacioni përmban një listë censure.

Frikë e madhe nga spiunazhi dixhital

Gjithsesi siguria e të dhënave në Lojërat Dimërore në Pekin është kritikuar: Gjermania, Australia, Britania e Madhe dhe SHBA u kanë bërë thirrje komiteteve të tyre kombëtare olimpike dhe atletëve të tyre që t’i lenë në shtëpi telefonat dhe laptopët e tyre privatë. Në vend të tyre ata duhet të marrin me vete pajisje ekstra për Olimpiadën, kaq e madhe është frika nga spiunazhi dixhital.

Pikërisht për këtë arsye Komiteti Olimpik Holandez i ka ndaluar në mënyrë eksplicite sportistët e tij, që të sjellin në Kinë telefonat dhe laptopë privatë. Në “My 2022” atletët, trajnerët, reporterët, funksionarët e sportit dhe punonjësit lokal duhet të regjistrojnë të dhënat e tyre shëndetësore.

Aplikacioni “My 2022” – gjurmimi i kontakteve dhe shumë më tepër

Lojërat Olimpike Dimërore fillojnë më 4 shkurt dhe do të jenë lojërat e dyta në kohën e pandemisë COVID-19. Prandaj, nuk është për t’u habitur që ekziston një aplikacion i detyrueshëm për telefona. Ai u përdor edhe në lojërat verore në Tokio vitin e kaluar. Sipas Playbookut zyrtar të Komitetit Olimpik Ndërkombëtar (IOC), detyrimi për ta instaluar vlen për të gjithë ata që do të jenë në të ashtuquajturën “flluska olimpike” e krijuar posaçërisht për atletët, trajnerët, reporterët, zyrtarët sportivë, përfaqësuesit diplomatikë dhe mijëra punonjës lokalë. Në fakt aplikacioni i zhvilluar në Kinë synon të monitorojë shëndetin e pjesëmarrësve në Olimpiadë dhe në rastet e testeve pozitive të koronës të gjurmojë kontaktet.

Në aplikacion nuk duhet të vendosen vetëm të dhënat e pasaportës dhe të dhënat personale për statusin e udhëtimit, por edhe informacione mjekësore shumë private dhe të ndjeshme. Për shembull, nëse kohët e fundit keni vuajtur nga simptoma të ngjashme me COVID-19 si ethe, lodhje, dhimbje koke, kollë e thatë, diarre ose dhimbje fyti. Kush vjen nga jashtë, duhet të fillojë të kalojë të dhënat shëndetësore në aplikacion 14 ditë përpara se të hyjë në vend.

Gjurmimi i kontakteve i bazuar në aplikacione shihet në shumë vende si një mënyrë moderne për të luftuar pandeminë Covid19. Por, “My 2022” lejon më shumë sesa thjesht gjurmimin e kontakteve. Ai rregullon autorizimet për të pasur qasje në ngjarjet olimpike, shërben si udhëzues për vizitorët me informacione për programin dhe organizimin e ngjarjeve sportive, ofron shërbime turistike për vizitorët dhe madje përfshin funksione bisede (tekst dhe audio), news feeds dhe transferime të të dhënave për përdoruesit. Apo siç thuhet në përshkrimin në Apple Store: aplikacioni “My 2022”, “ofron shërbim të personalizuar për grupe të ndryshme përdoruesish për të shijuar Lojërat në mënyrë të gjithanshme me një aplikacion”.

Transmetimi i pasigurt i të dhënave në aplikacion

Boshllëqet në aplikacion u zbuluan nga studiuesit e Citizen Lab, të cilët bëjnë studime mbi sigurinë dixhitale rreth çështjeve të të drejtave të njeriut në Munk School of Global Affairs të Universitetit të Torontos.

Citizen Lab ka qenë përfshirë edhe në zbulimin e softuerit spiun “Pegasus”. Pika specifike e kritikës janë të ashtuquajturat certifikata SSL, të cilat duhet të sigurojnë që trafiku i të dhënave të ndodhë vetëm ndërmjet pajisjeve dhe serverëve të besueshëm.

Sipas raportit, ato nuk janë të vërtetuara për vlefshmërinë. Kjo mungesë e vërtetimit të certifikatave SSL përbën një dobësi serioze sigurie. Si rezultat, aplikacioni mund të devijohet për të komunikuar me një kompjuter keqdashës, duke lejuar që informacioni të përgjohet apo madje të dhënat e dëmshme të kthehen në aplikacion.

Studiuesit e Citizen Lab, Jeffrey Knockel dhe Lotus Ruan, kanë zbuluar cenueshmëri jo vetëm në lidhje me të dhënat shëndetësore, por edhe me shërbime të tjera të rëndësishme në aplikacion. Kjo përfshin shërbimin e aplikacionit që përpunon të gjitha bashkëngjitjet e skedarëve, si dhe transmetimet zanore. Ekspertët zbuluan edhe se trafiku i të dhënave në aplikacion për disa shërbime nuk është aspak i koduar. Kjo do të thotë që të dhënat e shërbimit të bisedës në aplikacion mund të lexohen shumë lehtë nga hakerat.

“Zbulimet tona kanë treguar, se masat e sigurisë së aplikacionit My2022 janë krejtësisht joefektive dhe nuk mbrojnë nga rrjedhja e të dhënave të ndjeshme tek palët e treta të paautorizuara”, thotë Knockel.

Censurë? Lista e termave të censuruar ngre pyetje

Studiuesit e teknologjisë së informacionit zbuluan edhe një skedar teksti të quajtur “ilegalwords.txt”. Aty renditen 2,442 fjalë kyçe dhe fraza, kryesisht nga gjuha kineze e shkruar, e përdorur në Republikën Popullore të Kinës, por edhe disa terma nga gjuha ujgure, tibetiane, gjuha kineze e shkruar e përdorur në Tajvan dhe Hong Kong dhe nga anglishtja.

Ndër termat e shumta ka disa sharje, por edhe shprehje që i referohen temave politikisht tabu në Kinën komuniste, që censurohen nga shteti, duke përfshirë: kritikat ndaj Partisë Komuniste Kineze dhe drejtuesve të saj, si dhe fjalë kyçe që lidhen me Falun Gong; protestat e Tiananmenit; Dalai Lamën; dhe pakicën myslimane ujgure në rajonin Xinjiang. Në ujgurisht, sipas Citizen Lab përfshihet edhe termi “Kurani i Shenjtë”.

Eksperti i sigurisë kibernetike në versionin aktual të aplikacionit nuk ka arritur të gjejë të dhëna, që kjo listë censure gjatë përdorimit të përdoret në mënyrë aktive. Po ashtu, nuk është fort e qartë se si ky skedar ekziston vërtetë.

“Edhe nëse skeda illegalwords.txt ndërkohë nuk përdoret, My2022 përmban funksione kodimi, që e lexojnë këtë skedë dhe mund të përdoret për censurë, kësisoj lista e censurës aktivizohet lehtësisht”, shton Kockel.

Aplikacioni qysh tani përmban një funksion raportimi, në të cilin përdoruesit e tij mund të denoncojnë përdoruesit e tjerë nëse ata e konsiderojnë përmbajtjen e mesazhit si të dyshimtë apo të rrezikshme. Ndër arsyet e mundshme për denoncim është edhe mundësoa për “përmbajtje politike delikate”, ashtu si përshkruhen zakonisht në Kinë temat e censuruara politike.

Në “My 2022” të dhënat private dhe ato mjekësore, sipas studiuesve të Citizen Lab nuk janë të mbrojtura mjaftueshëm.

Asnjë reagim i Komitetit Organizator Kinez ndaj boshllëqeve të sigurisë

Në fillim të dhjetorit 2021 Citizen Lab në mënyrë konfidenciale ia ka komunikuar Komitetit Organizator konstatimet. Citizen Lab – sikurse është e zakonshme në rast të boshllëqeve të sigurisë – i ka kërkuar organizatorëve kinezë të Olimpiadës, që t’i shmangin pikat e dobëta të sistemit përpara se të publikohet raporti.

“Deri tani Komiteti Organizativ nuk ka reaguar ndaj zbulimeve”, thotë Knockel.

Ndonëse ndërkohë janë publikuar disa përditësime të Apple Store dhe Google Store, verifikimi nga studiuesit e sigurisë të Citizen Lab të ndërmarra më 17 janar 2022 nuk kanë konstatuar ndryshime lidhur me listën e censurës dhe të ashtuquajturat pika të dobëta.

Në Playbookun për atletët dhe funksionarët Komiteti Ndërkombëtar Olimpik shkruan, se “My 2022” është në “përputhje me standardet ndërkombëtare si dhe me legjislacionin kinez”.

Por Citizen Lab bazuar tek zbulimet e veta arrin në konkluzionin, se transmetimi i informacioneve personale “mund të jetë një shkelje direkte e ligjeve kineze për mbrojtjen e të dhënave”. Sepse në Kinë sipas rregullores për mbrojtjen e të dhënave informacionet për gjendjen shëndetësore të një personi duhet të komunikohen dhe regjistrohen në mënyrë të koduar.

Rezultatet e paraqitura në raportin e Citizen Lab venë pikëpyetje edhe ndaj gjigantëve perëndimorë të teknologjisë që ofrojnë “My 2022”.

“Si Apple edhe Google sipas normativave ndalojnë që aplikacioni të transmetojë të dhëna sensible të pakoduara. Të dyja duhet të vendosin tani, nëse problemet e paszgjidhura të sigurisë duhet të kenë si rrjedhojë shuarjen e app stores”, thotë Knockel.

Komiteti Organizator në Pekin e mbron aplikacionin duke theksuar, se ai “është verifikuar me sukses” nga Google, Apple dhe Samsung.

“Ne kemi marrë masat si për transmetimin e koduar të informacioneve personale, për të mbrojtur të dhënat private”, i tha Komiteti agjencisë kineze të lajmeve Xinhua. /Deutsche Welle/