OLYMPISKE LEKER

Advarer om urovekkende personvern i obligatorisk OL-app

Kinesiske myndigheter har tilsynelatende ignorert varsel om store svakheter i sikkerheten.

My 2022, den offisielle OL-appen under Vinter-OL i Beijing 2022, samler inn mange sensitive personopplysninger og har samtidig store sikkerhetshull.
My 2022, den offisielle OL-appen under Vinter-OL i Beijing 2022, samler inn mange sensitive personopplysninger og har samtidig store sikkerhetshull. Illustrasjon: Google Play
Harald BrombachHarald BrombachNyhetsleder
19. jan. 2022 - 19:00

Det er grunn til å være ekstra påpasselig med IT-sikkerheten for alle som i kommende ukene skal reise til Kina for å delta i eller overvære de olympiske vinterlekene som arrangeres i Beijing. Myndighetene i Kina er ikke ukjente med verken digital overvåkning eller spionvare. 

Flere av selskapene som står som leverandører av teknologi og tjenester under vinterlekene, er underlagt handelsrestriksjoner i vestlige land på grunn av manglende tillit.

Flere lands delegasjoner anbefaler derfor utøverne og andre om ikke å ta med seg sin vanlige smartmobil til Kina, men i stedet skaffe seg en billig mobiltelefon som de kan kaste etter oppholdet. Dette skriver blant annet Bloomberg (for abonnenter) og Fox News.

Telegram-appen har vært under mye press nylig, og nå endres retningslinjene.
Les også

Gir etter for press: Meldingsappen Telegram har blitt litt mindre privat

Obligatorisk app

En utfordring er det at både utøvere, tilskuere og pressen er nødt til å bruke en spesiell app under oppholdet i Kina. Denne heter My 2022 og finnes til både Android og IOS

Noe av hensikten med appen er covid-19-relatert helsesporing, men den har også mye annen funksjonalitet, inkludert turistanbefalinger, GPS-navigasjon, mulighet for samtaler med tekst og tale, filoverføring, nyhetsoppdatering og værvarsler, for å nevne noe. 

I tillegg er det meningen at brukerne av appen skal registrere store mengder personopplysninger i appen, inkludert detaljer fra passet, helse- og reisehistorikk. 

Menneskerettighets- og teknologigruppen Citizen Lab ved University of Toronto har studert My 2022-appen og kom tirsdag med en rapport. Gruppen mener at appen utgjør et brudd på ikke bare regelverkene til Google Play og Apples App Store, men også Kinas egne lover og nasjonale standarder for personvern. 

Ifølge Citizen Lab er det godt opplyst i offentlige dokumenter hva slags informasjon appen samler inn fra brukerne, men det er uklart hvem som får tilgang til denne informasjonen. 

Store sårbarheter

Verre er det at appen har en feil som gjør det trivielt å omgå krypteringen av brukerens tale og filoverføring, i tillegg til overføringen av skjemaer blant annet om helseopplysninger. 

Det skal også være mulig å forfalske responsen fra servere, slik at angripere blant annet kan gi brukerne falske instruksjoner. Dette skyldes at appen ikke validerer TLS-sertifikatene som benyttes. 

Citizen Lab opplyser at Beijing Organising Committee for the 2022 Olympic and Paralympic Winter Games ble varslet om problemene 3. desember i fjor. Den canadiske gruppen hadde ennå ikke fått noe svar på varselet da rapporten ble publisert 18. januar i år. 

Huawei har lenge vært utsatt for amerikanske sanksjoner, men har likevel store planer om å erobre verden.
Les også

River seg løs fra Android

Ikke rettet

17. januar kom det en ny versjon av My 2022-appen til IOS, med versjonsnummer 2.0.5. Citizen Lab har analysert denne og konkludert med at sårbarhetene som tidligere var blitt funnet, fortsatt er til stede i appen. Det ble også funnet ny funksjonalitet med tilsvarende sårbarheter. 

Under analysen av Android-versjonen av appen ble det funnet en liste med 2442 ord eller uttrykk, hvor en del anses for å være politisk følsomme i Kina, mens en del annet er av for eksempel rasistisk, voldelig eller pornografisk karakter. De fleste av ordene er skrevet på forenklet kinesisk, men det er også ord på engelsk og enkelte andre språk. Forskerne har ikke funnet bevis for at listen faktisk brukes til sensur av det brukerne skriver. 

Derimot har appen en funksjon hvor brukere kan rapportere inn andre brukere dersom de skriver noe som er upassende. Dette skal dog ikke være uvanlig i kinesiske apper, og kategoriene for rapportering er heller ikke så ulike det man kan finne i for eksempel Facebook. 

Oslo tingrett mener at konflikten mellom det norske IT-selskapet og Festportalen kunne vært løst utenfor rettssalen. – Det kan nevnes at retten også under hovedforhandlingen flere ganger oppfordret partene til å vurdere en minnelig løsning, skriver tingrettsdommer Eirik Aass i dommen.
Les også

Brukte 180 timer på å rette opp – men retten mener de ikke har lidd noe tap

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.