Безбедносни ризици за учеснике Олимпијаде- шпијунски софтвер MY2022
Сједињене Америчке Државе су упозориле своје спортисте да на Олимпијаду понесу једнократне телефоне или телефоне које неће користити након Олимпијаде.
Оваква инструкција представља контрамеру на захтев да сви спортисти морају инсталирати телефонску наменски креирану кинеску апликацију. Кина обавезну инсталацију правда контролом ширења Ковид-19. Апликација MY2022 није обична апликација за мониторинг заразе, већ садржи опције за разговор, размену порука И фајлова, као И праћење комплетног кретања са све биографским подацима о личности. Наведене функције према законима већине држава, али И према политици online продавница каква је GooglePlay, не смеју нарушавати приватност И компромитовати личне податке. Поставља се питање зашто би неко прописао обавезну инсталацију софтвера спортистима који су гости на “политички” неутралној Олимпијади. Чему потреба да се приватан живот, активности И мишљења светских спортиста прате? Каква је опасност од спортиста који су у изолованом олимпијском насељу? Физички изоловани не могу представљати никакву претњу од инфилтрације у кинеске институције И друштво. Апликација не обухвата само спортисте већ И све посетиоце Олимпијских Игара - пише Дарко Обрадовић (Центар за стратешку анализу).
Под којим су безбедносним ризиком спортисти? Нема сумње да ће, од тренутка када слете у Пекинг, базне станице бележити И снимати све њихове комуникације И активности на мобилним телефонима. Прикупљањем метаподатака оствариће се комплетан увид у преписке И комуникацију.
Обавезна апликација под називом MY2022 званично служи за праћење здравља И кретања током боравка у Кини. Обавеза коришћења апликације прописана је за све посетиоце Олимпијских игара. Грађанска лабораторија из Торонта урадила је анализу функционалности софтвера MY2022. У свом извештају проналазе да софтвер прикупља демографске податке, путне исправе, здравствену И путничку историју. Сви ови подаци су рањиви од стране овог софтвера. И на врло једноставан начин могу бити компромитовани, односно пресретнути. Поред тога, нападач има могућност да да лажне наредбе кориснику. И ако апликација наводи које податке прикупља, није јасно коме те податке доставља. Ко су организације којима се уступају подаци, И под којим условима?
За сада је установљено да ова апликација нарушава Гуглову политику нежељеног софтвера, као И App сторе правила, али И саме кинеске законе.
Апликација MY2022 се налази у власништву државне компаније Пекинг Финанциал Холдингс Гроуп. Апликација поседује далеко веће функционалности него што то захтева потреба праћења здравственог стања. У многим земљама се показало да апликације које прате контакте заражених особа, имају обиље рањивости по питању заштите података о личности.
Анализом политике приватности апликације како би се разумели односи између прикупљања података, складиштења И трансфера види се да апликација прилично једноставно наводи које податке сакупља И са ким дели те податке. Податке који се односе на здравствено стање И личне информације могу користити енитети као што је Пекинг 2022 олимпијски организациони комитет, кинеске власти, међународни олимпијски комитет. Из овога се види да се уопштено наводе “кинеске власти” али не И специфично које су то институције. Као И у случају других кинеских апликација појављује се могућност одавања личних података без знања корисника.
Сценарији одавања информација корисника без његовог знања могу се односити на питања националне безбедности, тероризма, кривичних дела. Апликација MY2022 не наводи под којим условима се пресреће комуникација и која организација или институција може добити податке.
Спорна је И валидација SSl сертификата на самој апликацији. Што упућује да корисник не може бити сигуран коме шаље енкриптоване поруке. Да не буде забуне, скоро све апликације користе неки вид енкрипције. У случају MY2022 постоји пренос података који се не може заштити никаквим енкрипцијама односно шифровањима.
Шта је то SSL сертифика? Корисник који се логује на сервер уз помоћ SSL-a користи енкрипцију И дигитални потпис у циљу приватности И интегритета података које шаље. У овом случају како није имплементиран SSL сертификат размена података између корисника може бити пресретнута методом “човек у средини”(ман ин the middle), подаци који се шаљу не морају нужно стићи у целости или без модификација које је пресретач направио. Пресретач не мора бити физичко лице, већ софтвер са унапред задатим параметрима. Уколико корисници буду конектовани на wi-fi не мора нужно апликација бити та која ће испољити овакву врсту злоћудног понашања. Без SSL сертификата корисник није сигуран да су његови подаци сигурни при слању или да су запримљени од оног од ког су требали бити. У случају MY2022 то практично значи да потенцијални нападач/пресретач може бити позициониран између апликације И сервера. У комуникацији злоћудни сервер домаћин може се систему представити као позудан, а подаци који долазе И одлазе само ће изгледати да долазе са поузданих сервер. Пример који се наводи јесте комуникација MY2022 са сервером “health.customsapp.com”. Пример напада због недостатка SSl-a може се манифестовати кроз слање погрешног одговора кориснику. Хипотетички сцениро, уколико би било унето здравствено стање (то је обавеза свих учесника), може се вратити податак који ће кориснику саопштити да је оболео или је био изложен зарази. Уколико би неко био злонамеран, овакав безбедносни пропуст би тумачио као намеру да се одређени такмичари спрече од учешћа у одсудним моментима на такмичењу. У случају сервер “тмаил.беијинг2022.цн” истим методом би била компромитована сва гласовна комуникација корисника. На овај сервер се шаљу И подаци као што је идентитет пошаљиоца поруке. У свим случајевима подаци се могу надзирати преко wi фи хотспота, пружаоца интернет услуге.
3. децембра је Грађанска Лабораторија из Торонта затражила објашњења на наведене рањивости, дала рок до кога неће јавно излазити. На основу политике рањивости апликација јавно је објављен произвођач И апликација са свим пратећим рањивостима.
Софтвер MY2022 у себи садржи И листу цензурисаних именица, имена, појмова И фраза. Приликом анализе установљено је да ова функција није још увек имплементирана. Истраживачи верују да је фајл под називом “ilegalwords.txt” који садржи 2,442 речи ван функције. За сада није јасно да ли је та функција са листом забрањених речи потпуно неактивна, или је намерно тако остављено како би се показало да ова функционалност не ради, односно да Кина не цензурише комуникацију на Олимпијским играма. Међу забрањеним речима су садржаји повезани са порнографијом, забрањеном робом, псовке, али И фразе које упућују на негативно одношење према кинеском политичком систему. Листа садржи И ујгурско писмо И тибетанско. Ово није новост, јер многе кинеске апликације одавно цензуришу одређене речи И фразе на платформама какав је WeChat И Weibo. Док се не види функционисање апликације током олимпијских игара, остаће отворено да ли је Кина уважила апел Међународног олимпијског комитета да не цензурише олимпијске игре, или је ово јефтин трик у прилог томе да Кина не цензурише своје апликације, анализира Дарко Обрадовић.
У сваком случају кинеска влада одавно на свим нивоима користи техничка решења за пресретање И цензуру садржаја који се налази иза “Великог ватреног зида”. Како је државна компанија израдила апликацију MY2022, онда се намће питање да ли је намерно саботиран SSL сертификат. Нарочито ако имамо у виду да се од учесника И посетилаца захтева да апликацију инсталирају 14 дана пре пута. На то треба додати да технички није могуће користити друге сервисе комуникације попут WhatsUp на пример. Намеће се закључак да ће апликација MY2022 бити носилац комуникације такмичара И посетилаца са својим контактима у матичним земљама. Експертска јавност је са правом забринута да ће се током олимпијских игара примењивати обавештајна тактика сакупљања “зрневља песка”. Количина података која буде акумулирана уз АИ аналитику може бити стављена у различите функције. Остаје не јасно зашто се захтева да апликација садржи податке, који су И овако у поседу кинеске државе. Са друге стране Кина је обећала да ће такмичари имати привилегију да “прескоче” “Велики ватрени зид” како би приступили садржајима који су забрањени у Кини. Инфаструктуру за потребе такмичара пружиће Huawei И Iflytek чија сарадња са Министарством јавне безбедности је више пута доказана. Huawei се такође налази на америчким извозним санкцијама, И налази се пред судовима у Америци због корпоративне шпијунаже.
На овом примеру видимо да смислено смањивајне заштите приватне комуникације представља ендемски проблем у Кини. Овде се укрштају И развојни приоритети самих креатора апликација, зашто би развијали заштитна техничка решења у односу на функционалнсти. Концепт приватности одавно је нарушен . Потреба за заштитом личне преписке И комуникације је у потпуности обесмишљена. Истраживачи закључују да су све набројане мањкавости резултат пословне И државне политике, а не нужно завере И техничког незнања.
У начелу технологије за пресретање се имплементирају у свакој ситуацији И на сваком месту у Кини. Сумње у кинеске апликације у погледу цензуре И капацитета надзора су веома оправдане, до сада је доступна велика количина анализа које потврђују безбедносне пропусте, кршење приватности И контролу инфромација на апликацијама које раде у Кини И њиховим апликацијама које имају глобалну употребу, а које су развијене од кинеских предузећа. Поред овог техничког аспекта биће примењене И конвецнионалне обавештајне методе прикупљања података велике количине спортиста. Ти подаци се могу користити током олимпијаде или се чувати за будућу експлоатацију. Само понашање на победничком постољу представља оправдан ризик за Пекинг. Пажљиво ће се пратити да ли ће учесници слати политичке или друштвене поруке И сва је прилика да те поруке никад неће стићи до домаће И светске јавности.
Случај апликације MY2022 И спорних SSl сертификата поново нас враћа на опасност имплементације 5Г инфраструктуре кинеске производње. Хипотетички таква технологија би могла неповољно да утиче на долазак И останак страних инвестиција, као И на ИТ индустрију у целости.
Безбедносне инструкције за спортисте су да током олимпијаде користе нове лаптопове, телефоне И имејл адресе. Да се не логују на своје налоге преко претраживача са својим стварним лозинкама током боравка у Пекингу, већ да за потребе олимпијаде направе једнократне лозинке. Једна од инструкција гласи да уређаји који се однесу у Пекинг више не треба да се користе по повратку. Могућност дуготрајног техничког И софтверског компромитовања уређаја као И са њима повезаним налозима се сматра као висок И вероватан ризик. Надамо се да ће Олимпијске игре протећи без скандала И инцидената, пише Дарко Обрадовић.