Die erforderliche Smartphone-App, die von allen Besuchern der Olympischen Winterspiele in China im nächsten Monat verwendet werden muss, hat einen „einfachen, aber verheerenden Fehler“ in ihrer Verschlüsselung, der die Sprache, Dateiübertragungen und gespeicherten medizinischen Daten der Benutzer bedroht, sagt die kanadische Gruppe für Datenschutz und Menschenrechte.
Im heutigen BerichtCitizen Lab der University of Toronto gibt an, dass MY2020 auch das Spoofing von Serverantworten zulässt, was es einem Angreifer ermöglicht, Benutzern falsche Anweisungen und eine Liste von Zensur-Schlüsselwörtern anzuzeigen – in aktuellen Versionen – inaktiv –, die eine Vielzahl von politischen Problemen ansprechen, einschließlich inländischer Probleme. wie Xinjiang und Tibet sowie Verweise auf chinesische Regierungsbehörden.
Citizen Lab bezweifelt jedoch, dass Schwachstellen in der SSL-Verschlüsselung absichtlich platziert wurden. Stattdessen stellt er fest, dass der mangelnde Schutz von Benutzerdaten „endemisch für das Ökosystem chinesischer Anwendungen“ ist. Er weist auch darauf hin, dass die Gesundheitsdaten, die Nutzer in den Antrag eingeben müssen, ohnehin separat an die chinesische Regierung übermittelt werden müssen.
Der Bericht fügt hinzu, dass die unsichere Übertragung persönlicher Daten von MY2022 tatsächlich einen direkten Verstoß gegen die chinesischen Datenschutzgesetze darstellen kann, zusätzlich zu den Google-Richtlinien zu unerwünschter Software und den App Store-Richtlinien von Apple.
Der Bericht weist auch darauf hin, dass die chinesische Regierung bedeutende Schritte unternommen hat, um die invasive Sammlung von Unternehmen und den Missbrauch personenbezogener Daten zu reduzieren, weitgehend im Einklang mit globalen Ansätzen zum Schutz personenbezogener Daten.
MY2022 ist ein kombiniertes Tool und eine Anwendung zur Überwachung von COVID-19-Kontakten. Beinhaltet touristische Empfehlungen, GPS-Navigation und eine Website mit COVID-19-bezogenen Gesundheitsinformationen wie Impfungen und tägliche Gesundheit.
Alle internationalen und inländischen Teilnehmer an den Spielen sind verpflichtet, die Anwendung 14 Tage vor ihrer Abreise nach China herunterzuladen und mit der Überwachung zu beginnen und ihren Gesundheitszustand täglich an die Anwendung zu senden.
MY2022 wurde vom Pekinger Organisationskomitee gebaut. Öffentliche Aufzeichnungen zeigen, dass die Anwendung der staatlichen Beijing Financial Holdings Group gehört.
Der Bericht sagt, dass die Anwendung in Bezug auf die Arten von Daten, die sie von Benutzern in ihren öffentlich zugänglichen Dokumenten sammelt, „ziemlich unkompliziert“ ist.
Allerdings hat die Anwendung zwei Fehler: Sie verifiziert keine SSL-Zertifikate, kann also nicht verifizieren, an wen sie sensible, verschlüsselte Daten sendet. Dies könnte es einem Angreifer ermöglichen, vertrauenswürdige Server zu fälschen, indem er die Kommunikation zwischen der Anwendung und diesen Servern unterbricht, heißt es in dem Bericht. Obwohl die Forscher feststellten, dass einige Verbindungen nicht anfällig waren, stellten sie fest, dass SSL-Verbindungen zu mindestens fünf Servern anfällig waren.
Zweitens gibt es Datenübertragungen, die MY2022 nicht mit irgendeiner Verschlüsselung schützen kann. Beispielsweise haben Forscher herausgefunden, dass MY2022 unverschlüsselte Daten an „tmail.beijing2022.cn“ – einen der oben genannten anfälligen Server – auf Port 8099 überträgt Benutzerkontokennungen. „Solche Daten können von jedem passiven Lauscher gelesen werden, beispielsweise von jemandem in Reichweite eines unsicheren WLAN-Zugangspunkts, von jemandem, der einen WLAN-Hotspot betreibt, von einem ISP oder einem anderen Telekommunikationsunternehmen“, heißt es in dem Bericht.
Am 3. Dezember 2021 wurden dem Pekinger Organisationskomitee der Olympischen und Paralympischen Winterspiele 2022 Sicherheitsprobleme gemeldet. Bis zum 18. Januar war keine Antwort eingegangen.
Am 17. Januar veröffentlichten die Entwickler Version 2.0.5 der iOS-Version MY2022 für den Apple App Store. Die Probleme wurden nicht gelöst. Tatsächlich hat die Anwendung eine neue Funktion namens “Grüner GesundheitskodexDessen Datenverkehr war insofern ähnlich anfällig, als er ebenfalls mit einer SSL-Implementierung instrumentiert wurde, die SSL-Zertifikate nicht authentifizieren konnte. Die Funktion „Green Health Code“ erfordert Informationen zu Reisedokumenten und zur Krankengeschichte, ähnlich wie Informationen, die wir bereits als unsicher durch die Schwachstellenfunktion der anfälligen Anwendung ermittelt haben.
„Unsere Ergebnisse, die das Jahr MY2022 analysieren, sind zwar besorgniserregend, aber nicht besonders überraschend für Anwendungen, die in China betrieben werden, und manchmal für Anwendungen, die von chinesischen Unternehmen entwickelt wurden. Viele Jahre lang habe es in China keine Gesetze oder spezielle Behörden gegeben, um die Sammlung privater Unternehmen und den Schutz personenbezogener Daten zu überwachen, heißt es in dem Bericht.