Det er grunn til å være ekstra påpasselig med IT-sikkerheten for alle som i kommende ukene skal reise til Kina for å delta i eller overvære de olympiske vinterlekene som arrangeres i Beijing. Myndighetene i Kina er ikke ukjente med verken digital overvåkning eller spionvare.
Flere av selskapene som står som leverandører av teknologi og tjenester under vinterlekene, er underlagt handelsrestriksjoner i vestlige land på grunn av manglende tillit.
Flere lands delegasjoner anbefaler derfor utøverne og andre om ikke å ta med seg sin vanlige smartmobil til Kina, men i stedet skaffe seg en billig mobiltelefon som de kan kaste etter oppholdet. Dette skriver blant annet Bloomberg (for abonnenter) og Fox News.
Gir etter for press: Meldingsappen Telegram har blitt litt mindre privat
Obligatorisk app
En utfordring er det at både utøvere, tilskuere og pressen er nødt til å bruke en spesiell app under oppholdet i Kina. Denne heter My 2022 og finnes til både Android og IOS.
Noe av hensikten med appen er covid-19-relatert helsesporing, men den har også mye annen funksjonalitet, inkludert turistanbefalinger, GPS-navigasjon, mulighet for samtaler med tekst og tale, filoverføring, nyhetsoppdatering og værvarsler, for å nevne noe.
I tillegg er det meningen at brukerne av appen skal registrere store mengder personopplysninger i appen, inkludert detaljer fra passet, helse- og reisehistorikk.
Menneskerettighets- og teknologigruppen Citizen Lab ved University of Toronto har studert My 2022-appen og kom tirsdag med en rapport. Gruppen mener at appen utgjør et brudd på ikke bare regelverkene til Google Play og Apples App Store, men også Kinas egne lover og nasjonale standarder for personvern.
Ifølge Citizen Lab er det godt opplyst i offentlige dokumenter hva slags informasjon appen samler inn fra brukerne, men det er uklart hvem som får tilgang til denne informasjonen.
Store sårbarheter
Verre er det at appen har en feil som gjør det trivielt å omgå krypteringen av brukerens tale og filoverføring, i tillegg til overføringen av skjemaer blant annet om helseopplysninger.
Det skal også være mulig å forfalske responsen fra servere, slik at angripere blant annet kan gi brukerne falske instruksjoner. Dette skyldes at appen ikke validerer TLS-sertifikatene som benyttes.
Citizen Lab opplyser at Beijing Organising Committee for the 2022 Olympic and Paralympic Winter Games ble varslet om problemene 3. desember i fjor. Den canadiske gruppen hadde ennå ikke fått noe svar på varselet da rapporten ble publisert 18. januar i år.
River seg løs fra Android
Ikke rettet
17. januar kom det en ny versjon av My 2022-appen til IOS, med versjonsnummer 2.0.5. Citizen Lab har analysert denne og konkludert med at sårbarhetene som tidligere var blitt funnet, fortsatt er til stede i appen. Det ble også funnet ny funksjonalitet med tilsvarende sårbarheter.
Under analysen av Android-versjonen av appen ble det funnet en liste med 2442 ord eller uttrykk, hvor en del anses for å være politisk følsomme i Kina, mens en del annet er av for eksempel rasistisk, voldelig eller pornografisk karakter. De fleste av ordene er skrevet på forenklet kinesisk, men det er også ord på engelsk og enkelte andre språk. Forskerne har ikke funnet bevis for at listen faktisk brukes til sensur av det brukerne skriver.
Derimot har appen en funksjon hvor brukere kan rapportere inn andre brukere dersom de skriver noe som er upassende. Dette skal dog ikke være uvanlig i kinesiske apper, og kategoriene for rapportering er heller ikke så ulike det man kan finne i for eksempel Facebook.
Brukte 180 timer på å rette opp – men retten mener de ikke har lidd noe tap