Фото: Hou Yu/China News Service via Getty Images
Зимові Олімпійські ігри, що відбудуться у Пекіні, стартують уже незабаром, і в процесі підготовки постали питання, зокрема, не тільки епідемічної, а й кібербезпеки.
Так, Олімпійський комітет Нідерландів закликав спортсменів національної команди не брати з собою мобільні телефони та ноутбуки до Пекіна.
Зокрема, комітет попередив, що Китай може стежити за пристроями під час Ігор, передає Reuters. Зазначається, що аналогічні рекомендації також отримали британські олімпійці.
Також повідомляється про те, що нідерландським спортсменам нададуть нові телефони та ноутбуки, які будуть знищені після повернення з Пекіна.
Офіційний же представник міністерства закордонних справ Китаю Чжао Ліцзянь 18 січня заявив про те, що побоювання деяких країн щодо можливих атак хакерів на смартфони і комп’ютери в період проведення зимової Олімпіади в Пекіні є безпідставними. Дипломат наголосив, що китайська влада гарантує безпеку під час Ігор.
Водночас Комітет захисту журналістів (CPJ) опублікував поради щодо висвітлення Олімпіади, де, зокрема, висловив занепокоєння щодо можливості вільної роботи преси під час Ігор.
«Китай уже три роки є країною, де ув’язнюють найбільшу кількість журналістів у світі для. Місцеві журналісти у материковому Китаї стикаються із посиленням цензури та контролю, тоді як міжнародні ЗМІ працюють у ворожому середовищі; Клуб іноземних кореспондентів Китаю (Foreign Correspondents Club of China) зазначає, що міжнародні ЗМІ не змогли відвідати прес-конференції та висвітлити підготовку Ігор, як-от прибуття Олімпійського вогню, з причин, зокрема, вимоги подати результати тесту на COVID-19 у неможливий термін. У березні 2021 року FCCC повідомила, що 20 міжнародних журналістів виключили у підготовчий рік, і водночас за репортерами часто стежать, а спікери бояться спілкуватися. У минулому CPJ задокументував ситуації, коли іноземні журналісти стикалися із переслідуваннями та погрозами напередодні Олімпіади 2008 року», — йдеться у матеріалі CPJ.
Як пише Комітет з безпеки журналістів, Китай також вживає суворих заходів щодо боротьби з COVID-19 по всій країні. Станом на 11 січня китайські чиновники повідомляли про спалахи штаму «Омікрон» та заблокували деякі міста, щоб спробувати стримати його.
Зимові Ігри відбуватимуться у рамках «замкненого циклу» або «бульбашки», що вже створена. Міжнародний олімпійський комітет (МОК) опублікував інструкцію для мовників і преси з такими рекомендаціями:
Окрім такої складної організації та безпрецедентних протиковідних заходів, слід окремо зупинитися на пункті про необхідність встановлення додатку.
Як пише Deutsche Welle, кожен, хто їде на Олімпійські ігри в Пекіні, «зобов’язаний задокументувати своє здоров’я для влади».
«Але додаток для смартфона «My 2022» має вразливості, які можуть призвести до злому», — йдеться у звіті безпеки, отриманому журналістами видання.
Згідно зі звітом про кібербезпеку Citizen Lab, на який і посилається DW, невідповідні заходи шифрування у додатку можуть зробити олімпійців, журналістів і офіційних осіб уразливими до хакерів, порушень конфіденційності та стеження.
За інформацією видання, крім того, ІТ-криміналісти виявили, що додаток містить список ключових слів для цензури.
Ці висновки викликають міжнародне занепокоєння з приводу цифрової безпеки під час проведення Ігор. Видання також повідомляє про те, що Німеччина, Австралія, Велика Британія та США закликали своїх спортсменів і Національні олімпійські комітети залишити свої особисті телефони та ноутбуки та подорожувати зі спеціальними пристроями через побоювання цифрового шпигунства.
Згідно з офіційним посібником Міжнародного олімпійського комітету (МОК), спортсмени, тренери, репортери та спортивні чиновники, а також тисячі місцевих співробітників зобов’язані розміщувати свою інформацію в додатку для смартфонів «My 2022» або на веб-сайті. Додаток, розроблений у Китаї, призначений для моніторингу здоров’я всіх відвідувачів і персоналу, а також для відстеження можливих заражень COVID-19.
У додаток необхідно ввести паспортні дані та інформацію про рейс. Також потрібна конфіденційна медична інформація, пов’язана з можливими симптомами COVID-19, наприклад, чи була у людини лихоманка, втома, головний біль, сухий кашель, діарея чи біль у горлі. Ті, хто приїжджає з-за кордону, повинні почати вводити дані про стан здоров’я за 14 днів до прибуття в країну.
Багато країн використовують додаток для відстеження контактів, щоб допомогти боротися із пандемією. Але «My 2022» поєднує відстеження контактів із іншими сервісами: він регулює доступ до подій, діє як довідник для відвідувачів із інформацією про спортивні об’єкти та туристичні послуги, а також забезпечує функції чату (текстовий та аудіо), стрічки новин та передачу файлів.
В описі в магазині додатків Apple зазначено, що «My 2022» «надає індивідуальний сервіс для різних груп користувачів, щоб насолоджуватися усіма подіями, пов’язаними з Іграми в одному додатку».
Як пише Deutsche Welle, Citizen Lab, яка проводить дослідження цифрової безпеки в Школі глобальних справ Мунка при Університеті Торонто (University of Toronto’s Munk School of Global Affairs) і брала участь у викритті шпигунського програмного забезпечення Pegasus, дослідила програму і виявила, що вона вразлива до електронних крадіжок.
Сертифікати SSL програми, які мають забезпечувати обмін даними лише між надійними пристроями та серверами, не перевіряються, що означає, що програма має серйозну вразливість шифрування. Як наслідок, програма може бути обманом підключена до шкідливого хосту, що дозволить перехопити інформацію або навіть надіслати шкідливі дані назад до програми.
Дослідник Citizen Lab Джеффрі Нокель каже, що виявив уразливість не лише в даних про здоров’я, але й у інших важливих сервісах у додатку. Це включає службу додатків, яка обробляє усі вкладені файли, а також передані голосові повідомлення.
Експерт каже, що він також виявив, що для деяких сервісів трафік даних у додатку взагалі не шифрується. Це означає, що хакери можуть легко прочитати метадані власного чату програми.
«Наші висновки показують, що заходи безпеки My2022 є абсолютно недостатніми, щоб запобігти розголошенню конфіденційних даних неавторизованим третім сторонам», — стверджує Нокель у звіті.
Дослідники Citizen Lab також знайшли в додатку текстовий файл під назвою «illegalwords.txt». Він містить 2442 ключові слова та фрази, в основному написані спрощеною китайською мовою (яка використовується у Китайській Народній Республіці), але невелика частина слів також є уйгурською, тибетською, традиційною китайською (використовується у Гонконгу та Тайвані) та англійською.
Серед багатьох ключових слів є ненормативна лексика, а також вирази, які посилаються на політично табуйовані теми в комуністичному Китаї, які підлягають державній цензурі, зокрема критика Комуністичної партії Китаю та її лідерів, а також ключові слова, пов’язані з Фалуньгун; протести Тяньаньмень; Далай-лама; та уйгурська мусульманська меншина в китайському регіоні Сіньцзян. Одним із прикладів у списку, який Citizen Lab розглянула, є термін «Священний Коран» уйгурською мовою.
Citizen Lab, яка має значний досвід в аналізі безпеки додатків, каже, що в поточній версії програми немає жодних ознак того, що цей список ключових слів активно використовується для цензури. Не одразу було зрозуміло, чому список ключових слів присутній у додатку.
Але дослідник Нокель каже: «Незважаючи на те, що «illegalwords.txt» наразі не використовується, My 2022 вже містить функції коду, які здатні читати цей файл і застосовувати його до цензури, тому активація цензури списку не потребує великих зусиль».
Додаток також містить функцію звітування, яка дозволяє користувачам повідомляти інших користувачів, якщо вони вважають повідомлення чату небезпечним або сумнівним. Серед можливих причин для повідомлення є параметр «політично чутливий вміст», фраза, яка зазвичай використовується у Китаї для опису цензурних тем.
Видання у матеріалі також зазначає, що на початку грудня 2021 року слідчий орган заявив, що конфіденційно оприлюднив результати Пекінського організаційного комітету Олімпіади 2022 року. Роблячи це, як зазвичай, повідомляючи про вразливі місця в системі безпеки, Citizen Lab попросила організаторів Олімпійських ігор у Пекіні усунути проблеми протягом 45 днів до того, як інститут кібербезпеки публічно оприлюднить свої висновки.
«Оргкомітет не відповів на наше розкриття інформації», — сказав Нокель DW.
Тим часом оновлення програми були опубліковані в магазинах додатків Apple і Google. Аудит, проведений експертами з кібербезпеки Citizen Lab 17 січня 2022 року, виявив, що жодних змін не було внесено, щоб усунути занепокоєння щодо вразливостей безпеки та списку «незаконних слів».
Зимові Олімпійські ігри триватимуть із 4 по 20 лютого. Китай чекає на три тисячі спортсменів із різних країн. Але далеко не всі світові лідери приїдуть підтримати свої збірні. США оголосили дипломатичний бойкот Зимовій Олімпіаді в Пекіні через порушення прав людини. Так само вчинили Японія та Австралія.
Підтримуйте Громадське радіо на Patreon, а також встановлюйте наш додаток:
якщо у вас Android
якщо у вас iOS