Пекин хочет отслеживать данные о здоровье спортсменов зимних Олимпийских игр с помощью так называемого приложения COVID. Однако исследователи и ассоциации спортсменов предупреждают о значительных пробелах в безопасности приложения и цензуре.
Спортсмены, принимающие участие в зимних Олимпийских играх 2022 года в Пекине, в настоящее время завершают подготовку к Играм, которые начнутся 4 февраля. Но перед отъездом в Пекин они должны загрузить приложение, контролируемое Коммунистической партией Китая (КПК).
Приложение, получившее название «Мой 2022» («冬奥通»), в основном используется для мониторинга данных о состоянии здоровья спортсменов в связи с COVID-19. Однако у разработчиков есть серьезные опасения по поводу безопасности приложения, поскольку спортсмены технически отслеживаются и подвергаются цензуре.
«Политически чувствительные» темы, такие как резня на площади Тяньаньмэнь в 1989 году или преследование меньшинств и религиозных групп, занесены в список цензуры в приложении. Это позволяет китайским властям выслеживать пользователей и при необходимости наказывать их.
Кроме того, спортивные ассоциации также опасаются, что приложение может манипулировать результатами ежедневных тестов на коронавирус. Они обвиняют Международный олимпийский комитет (МОК) в безответственности по отношению к спортсменам, заставляя их использовать приложение.
В 2021 году организаторы Игр в Пекине выпустили два справочника по COVID. По их словам, все, кто приедет на Игры, должны загрузить приложение, чтобы вообще попасть в Китай.
Спортсмены должны ввести личную информацию, такую как статус вакцинации и общую информацию о состоянии здоровья. Кроме того, ежедневно следует вводить температуру тела и результаты тестов на COVID.
Но приложение может гораздо больше. Организаторы спортивного мероприятия рекомендуют использовать My 2022 для общения спортсменов и персонала. Кроме того, были встроены функции перевода и основная информация для пребывания во время игр.
Однако то, что звучит как идеальное приложение для спортсменов, скрывает огромные бреши в безопасности, о чем несколько дней назад сообщила исследовательская группа из Университета Торонто.
Согласно анализу Citizen Lab, My 2022 относительно открыто говорит о типах данных, которые он собирает от пользователей в своих общедоступных документах. Однако приложение собирает очень конфиденциальную медицинскую информацию, и неясно, с кем или с какими организациями оно делится этой информацией.
Кроме того, шифрование приложения можно «легко обойти», что делает пользователей уязвимыми для атак со стороны посторонних, которые могут украсть их личную информацию о здоровье и другие конфиденциальные данные.
Таможенные формы здоровья, паспортные данные, демографическая информация, а также история болезни и путешествий могут быть отправлены и также уязвимы для кражи данных.
По словам исследователей, ответы сервера также могут быть подделаны, что позволяет хакеру отображать поддельные инструкции для пользователей.
Для внутренних пользователей My 2022 собирает личную информацию, такую как имя, национальный идентификационный номер, номер телефона, адрес электронной почты, изображение профиля и информацию о занятости. Эти данные будут переданы в пекинский оргкомитет Олимпийских игр 2022 года.
Для иностранных пользователей приложение собирает другую личную информацию, включая демографические данные и паспортные данные (даты выдачи и истечения срока действия), а также организацию, которой они принадлежат.
Сам My 2022 описывает, что он будет раскрывать личную информацию без согласия пользователей, когда это касается вопросов национальной безопасности, инцидентов в области общественного здравоохранения и уголовных расследований.
Однако, по данным Citizen Lab, в политике конфиденциальности не указано, гарантируется ли каждое раскрытие информации судом или какие организации могут получить информацию.
Канадские исследователи видят значительный пробел в безопасности в том, что приложение не проверяет SSL-сертификаты. Это может позволить потенциальным хакерам обмануть доверенные серверы, вмешавшись в связь между приложением и этими серверами.
Отсутствие этой проверки означает, что приложение может быть обманом подключено к вредоносному хосту, полагая, что это надежный хост.
Это может перехватить информацию, передаваемую приложением на сервер, и позволить приложению отображать поддельный контент, который кажется исходящим от доверенных серверов.
Ещё один момент заключается в том, что приложение включает в себя функции, которые позволяют пользователям сообщать о «политически чувствительном» контенте. Существует также список ключевых слов цензуры. По словам Citizen Lab, хотя этот список неактивен, он нацелен на множество политических вопросов.
My 2022 имеет функцию чата в реальном времени, новостную ленту и передачу файлов. В версии приложения для Android исследователи обнаружили файл «illegalwords.txt», содержащий список из 2442 ключевых слов. Они обычно считаются политически чувствительными в Китае.
Однако Citizen Lab не удалось определить, является ли список полностью неактивным или же он по-прежнему намеренно неактивен. Однако приложение содержит кодовые функции, которые позволяют использовать этот список для цензуры, хотя в настоящее время эти функции не вызываются.
Когда список активен, функции кода могут блокировать отправку пользователями сообщений, содержащих эти слова. Это широко используемый инструмент для цензуры контента в китайских социальных сетях, пишет Citizen Lab.
Большая часть из 2442 ключевых слов написана на упрощенном китайском языке, а небольшая часть — на тибетском, уйгурском, традиционном китайском и английском языках.
Политически мотивированные ключевые слова включают негативные ссылки на китайскую политическую систему и внутрипартийную борьбу за власть, например, борьбу за власть между бывшими лидерами партии Ху Цзиньтао и Цзян Цзэминем ("胡江内斗").
Медитативная практика Фалунь Дафа (также называемая Фалуньгун), которая запрещена в Китае, также упоминается в списке, со словами "Фалунь Дафа - это хорошо" ("法轮大法好"). Движение Тяньаньмэнь 1989 года также входит в число нежелательных терминов ("Tiananmen暴乱").
Однако исследователи не удивлены своими выводами. В Китае, говорят они, нет ни законов, ни специальных органов, которые следят за сбором и защитой персональных данных частными компаниями.
Мой 2022 также был разработан китайской государственной компанией под названием «Beijing Financial Holdings Group», а не самим пекинским оргкомитетом, как они утверждают.
Как сообщает Reuters , Международный олимпийский комитет (МОК) и власти Пекина отвергли отчет Citizen Lab. Они утверждают, что меры по обеспечению конфиденциальности в приложении соответствуют международным стандартам и китайскому законодательству.
«Пользователь может контролировать, к чему приложение My 2022 может получить доступ на своем устройстве», — говорится в заявлении МОК для Deutsche Welle . Приложение «Мой 2022» является важным инструментом «в наборе инструментов для мер по борьбе с COVID-19».
Как сообщает Deutsche Welle, китайские официальные лица пригрозили наказанием тем, кто нарушает политические нормы Коммунистической партии Китая. Таким образом, безопасность Citizen Lab опасается, что приложение будет отслеживать и подвергать цензуре пользователей, что является тревожным сигналом.
Команда США посоветовала своим спортсменам везти в Китай не личные устройства, а одноразовые сотовые телефоны. Они опасаются, что китайские власти могут отслеживать устройства и заражать их вредоносными программами, сообщает Wall Street Journal.
Олимпийские чиновники из Нидерландов, Канады, Великобритании, Бельгии и Австралии также посоветовали спортсменам не брать с собой личные телефоны или устройства в Китай.
По материалам Epoch Times Europe GmbH