Bezbednosni rizici za učesnike Olimpijade- špijunski softver MY2022

Ovakva instrukcija predstavlja kontrameru na zahtev da svi sportisti moraju instalirati telefonsku namenski kreiranu kinesku aplikaciju. Kina obaveznu instalaciju pravda kontrolom širenja Kovid-19. Aplikacija MY2022 nije obična aplikacija za monitoring zaraze, već sadrži opcije za razgovor, razmenu poruka I fajlova, kao I praćenje kompletnog kretanja sa sve biografskim podacima o ličnosti. Navedene funkcije prema zakonima većine država, ali I prema politici online prodavnica kakva je GooglePlay, ne smeju narušavati privatnost I kompromitovati lične podatke. Postavlja se pitanje zašto bi neko propisao obaveznu instalaciju softvera sportistima koji su gosti na “politički” neutralnoj Olimpijadi. Čemu potreba da se privatan život, aktivnosti I mišljenja svetskih sportista prate? Kakva je opasnost od sportista koji su u izolovanom olimpijskom naselju? Fizički izolovani ne mogu predstavljati nikakvu pretnju od infiltracije u kineske institucije I društvo. Aplikacija ne obuhvata samo sportiste već I sve posetioce Olimpijskih Igara - piše Darko Obradović (Centar za stratešku analizu).

Pod kojim su bezbednosnim rizikom sportisti? Nema sumnje da će, od trenutka kada slete u Peking, bazne stanice beležiti I snimati sve njihove komunikacije I aktivnosti na mobilnim telefonima. Prikupljanjem metapodataka ostvariće se kompletan uvid u prepiske I komunikaciju.

Obavezna aplikacija pod nazivom MY2022 zvanično služi za praćenje zdravlja I kretanja tokom boravka u Kini. Obaveza korišćenja aplikacije propisana je za sve posetioce Olimpijskih igara. Građanska laboratorija iz Toronta uradila je analizu funkcionalnosti softvera MY2022. U svom izveštaju pronalaze da softver prikuplja demografske podatke, putne isprave, zdravstvenu I putničku istoriju. Svi ovi podaci su ranjivi od strane ovog softvera. I na vrlo jednostavan način mogu biti kompromitovani, odnosno presretnuti. Pored toga, napadač ima mogućnost da da lažne naredbe korisniku. I ako aplikacija navodi koje podatke prikuplja, nije jasno kome te podatke dostavlja. Ko su organizacije kojima se ustupaju podaci, I pod kojim uslovima?

Za sada je ustanovljeno da ova aplikacija narušava Guglovu politiku neželjenog softvera, kao I App store pravila, ali I same kineske zakone.

Aplikacija MY2022 se nalazi u vlasništvu državne kompanije Peking Financial Holdings Group. Aplikacija poseduje daleko veće funkcionalnosti nego što to zahteva potreba praćenja zdravstvenog stanja. U mnogim zemljama se pokazalo da aplikacije koje prate kontakte zaraženih osoba, imaju obilje ranjivosti po pitanju zaštite podataka o ličnosti.

Analizom politike privatnosti aplikacije kako bi se razumeli odnosi između prikupljanja podataka, skladištenja I transfera vidi se da aplikacija prilično jednostavno navodi koje podatke sakuplja I sa kim deli te podatke. Podatke koji se odnose na zdravstveno stanje I lične informacije mogu koristiti eniteti kao što je Peking 2022 olimpijski organizacioni komitet, kineske vlasti, međunarodni olimpijski komitet. Iz ovoga se vidi da se uopšteno navode “kineske vlasti” ali ne I specifično koje su to institucije. Kao I u slučaju drugih kineskih aplikacija pojavljuje se mogućnost odavanja ličnih podataka bez znanja korisnika.

Scenariji odavanja informacija korisnika bez njegovog znanja mogu se odnositi na pitanja nacionalne bezbednosti, terorizma, krivičnih dela. Aplikacija MY2022 ne navodi pod kojim uslovima se presreće komunikacija i koja organizacija ili institucija može dobiti podatke.

Sporna je I validacija SSl sertifikata na samoj aplikaciji. Što upućuje da korisnik ne može biti siguran kome šalje enkriptovane poruke. Da ne bude zabune, skoro sve aplikacije koriste neki vid enkripcije. U slučaju MY2022 postoji prenos podataka koji se ne može zaštiti nikakvim enkripcijama odnosno šifrovanjima.

Šta je to SSL sertifika? Korisnik koji se loguje na server uz pomoć SSL-a koristi enkripciju I digitalni potpis u cilju privatnosti I integriteta podataka koje šalje. U ovom slučaju kako nije implementiran SSL sertifikat razmena podataka između korisnika može biti presretnuta metodom “čovek u sredini”(man in the middle), podaci koji se šalju ne moraju nužno stići u celosti ili bez modifikacija koje je presretač napravio. Presretač ne mora biti fizičko lice, već softver sa unapred zadatim parametrima. Ukoliko korisnici budu konektovani na wi-fi ne mora nužno aplikacija biti ta koja će ispoljiti ovakvu vrstu zloćudnog ponašanja. Bez SSL sertifikata korisnik nije siguran da su njegovi podaci sigurni pri slanju ili da su zaprimljeni od onog od kog su trebali biti. U slučaju MY2022 to praktično znači da potencijalni napadač/presretač može biti pozicioniran između aplikacije I servera. U komunikaciji zloćudni server domaćin može se sistemu predstaviti kao pozudan, a podaci koji dolaze I odlaze samo će izgledati da dolaze sa pouzdanih server. Primer koji se navodi jeste komunikacija MY2022 sa serverom “health.customsapp.com”. Primer napada zbog nedostatka SSl-a može se manifestovati kroz slanje pogrešnog odgovora korisniku. Hipotetički sceniro, ukoliko bi bilo uneto zdravstveno stanje (to je obaveza svih učesnika), može se vratiti podatak koji će korisniku saopštiti da je oboleo ili je bio izložen zarazi. Ukoliko bi neko bio zlonameran, ovakav bezbednosni propust bi tumačio kao nameru da se određeni takmičari spreče od učešća u odsudnim momentima na takmičenju. U slučaju server “tmail.beijing2022.cn” istim metodom bi bila kompromitovana sva glasovna komunikacija korisnika. Na ovaj server se šalju I podaci kao što je identitet pošaljioca poruke. U svim slučajevima podaci se mogu nadzirati preko wi fi hotspota, pružaoca internet usluge.

3. decembra je Građanska Laboratorija iz Toronta zatražila objašnjenja na navedene ranjivosti, dala rok do koga neće javno izlaziti. Na osnovu politike ranjivosti aplikacija javno je objavljen proizvođač I aplikacija sa svim pratećim ranjivostima.

Softver MY2022 u sebi sadrži I listu cenzurisanih imenica, imena, pojmova I fraza. Prilikom analize ustanovljeno je da ova funkcija nije još uvek implementirana. Istraživači veruju da je fajl pod nazivom “ilegalwords.txt” koji sadrži 2,442 reči van funkcije. Za sada nije jasno da li je ta funkcija sa listom zabranjenih reči potpuno neaktivna, ili je namerno tako ostavljeno kako bi se pokazalo da ova funkcionalnost ne radi, odnosno da Kina ne cenzuriše komunikaciju na Olimpijskim igrama. Među zabranjenim rečima su sadržaji povezani sa pornografijom, zabranjenom robom, psovke, ali I fraze koje upućuju na negativno odnošenje prema kineskom političkom sistemu. Lista sadrži I ujgursko pismo I tibetansko. Ovo nije novost, jer mnoge kineske aplikacije odavno cenzurišu određene reči I fraze na platformama kakav je WeChat I Weibo. Dok se ne vidi funkcionisanje aplikacije tokom olimpijskih igara, ostaće otvoreno da li je Kina uvažila apel Međunarodnog olimpijskog komiteta da ne cenzuriše olimpijske igre, ili je ovo jeftin trik u prilog tome da Kina ne cenzuriše svoje aplikacije, analizira Darko Obradović.

U svakom slučaju kineska vlada odavno na svim nivoima koristi tehnička rešenja za presretanje I cenzuru sadržaja koji se nalazi iza “Velikog vatrenog zida”. Kako je državna kompanija izradila aplikaciju MY2022, onda se namće pitanje da li je namerno sabotiran SSL sertifikat. Naročito ako imamo u vidu da se od učesnika I posetilaca zahteva da aplikaciju instaliraju 14 dana pre puta. Na to treba dodati da tehnički nije moguće koristiti druge servise komunikacije poput WhatsUp na primer. Nameće se zaključak da će aplikacija MY2022 biti nosilac komunikacije takmičara I posetilaca sa svojim kontaktima u matičnim zemljama. Ekspertska javnost je sa pravom zabrinuta da će se tokom olimpijskih igara primenjivati obaveštajna taktika sakupljanja “zrnevlja peska”. Količina podataka koja bude akumulirana uz AI analitiku može biti stavljena u različite funkcije. Ostaje ne jasno zašto se zahteva da aplikacija sadrži podatke, koji su I ovako u posedu kineske države. Sa druge strane Kina je obećala da će takmičari imati privilegiju da “preskoče” “Veliki vatreni zid” kako bi pristupili sadržajima koji su zabranjeni u Kini. Infastrukturu za potrebe takmičara pružiće Huawei I Iflytek čija saradnja sa Ministarstvom javne bezbednosti je više puta dokazana. Huawei se takođe nalazi na američkim izvoznim sankcijama, I nalazi se pred sudovima u Americi zbog korporativne špijunaže.

Na ovom primeru vidimo da smisleno smanjivajne zaštite privatne komunikacije predstavlja endemski problem u Kini. Ovde se ukrštaju I razvojni prioriteti samih kreatora aplikacija, zašto bi razvijali zaštitna tehnička rešenja u odnosu na funkcionalnsti. Koncept privatnosti odavno je narušen . Potreba za zaštitom lične prepiske I komunikacije je u potpunosti obesmišljena. Istraživači zaključuju da su sve nabrojane manjkavosti rezultat poslovne I državne politike, a ne nužno zavere I tehničkog neznanja.

U načelu tehnologije za presretanje se implementiraju u svakoj situaciji I na svakom mestu u Kini. Sumnje u kineske aplikacije u pogledu cenzure I kapaciteta nadzora su veoma opravdane, do sada je dostupna velika količina analiza koje potvrđuju bezbednosne propuste, kršenje privatnosti I kontrolu infromacija na aplikacijama koje rade u Kini I njihovim aplikacijama koje imaju globalnu upotrebu, a koje su razvijene od kineskih preduzeća. Pored ovog tehničkog aspekta biće primenjene I konvecnionalne obaveštajne metode prikupljanja podataka velike količine sportista. Ti podaci se mogu koristiti tokom olimpijade ili se čuvati za buduću eksploataciju. Samo ponašanje na pobedničkom postolju predstavlja opravdan rizik za Peking. Pažljivo će se pratiti da li će učesnici slati političke ili društvene poruke I sva je prilika da te poruke nikad neće stići do domaće I svetske javnosti.

Slučaj aplikacije MY2022 I spornih SSl sertifikata ponovo nas vraća na opasnost implementacije 5G infrastrukture kineske proizvodnje. Hipotetički takva tehnologija bi mogla nepovoljno da utiče na dolazak I ostanak stranih investicija, kao I na IT industriju u celosti.

Bezbednosne instrukcije za sportiste su da tokom olimpijade koriste nove laptopove, telefone I imejl adrese. Da se ne loguju na svoje naloge preko pretraživača sa svojim stvarnim lozinkama tokom boravka u Pekingu, već da za potrebe olimpijade naprave jednokratne lozinke. Jedna od instrukcija glasi da uređaji koji se odnesu u Peking više ne treba da se koriste po povratku. Mogućnost dugotrajnog tehničkog I softverskog kompromitovanja uređaja kao I sa njima povezanim nalozima se smatra kao visok I verovatan rizik. Nadamo se da će Olimpijske igre proteći bez skandala I incidenata, piše Darko Obradović.