Peking chce na zimních olympijských hrách monitorovat zdravotní údaje sportovců pomocí státem produkované aplikace. Výzkumníci a sdružení sportovců však varují, že aplikace má značné bezpečnostní chyby a provádí cenzuru.
Sportovci, kteří se zúčastní zimních olympijských her v Pekingu v roce 2022, se v současné době připravují na hry, které začnou 4. února. Před odjezdem do Pekingu si však musí stáhnout aplikaci, kterou kontroluje Komunistická strana Číny (KS Číny).
Aplikace s názvem „My 2022“ (冬奥通) slouží především ke sledování zdravotních záznamů sportovců o onemocnění covid-19. Vývojáři však mají značné obavy o bezpečnost při jejím používání – sportovci jsou totiž prostřednictvím aplikace monitorováni a cenzurováni.
„Politicky citlivá“ témata, jako je masakr na náměstí Nebeského klidu v roce 1989 nebo pronásledování různých skupin čínských obyvatel včetně náboženských skupin, jsou v aplikaci zaznamenána na seznamu nepovolených témat. Čínské úřady tak mohou uživatele, který si dovolí takové informace sdílet, vystopovat a v případě potřeby potrestat.
Sportovní svazy se navíc obávají, že by aplikace mohla manipulovat s výsledky každodenních testů na covid-19. Obviňují Mezinárodní olympijský výbor (MOV), že se chová nezodpovědně vůči sportovcům, když je nutí aplikaci používat.
Snímek obrazovky z recenze aplikace My 2022. (Screenshot / Epoch Times)
Bez aplikace není vstup možný
V roce 2021 vydali organizátoři her v Pekingu dvě příručky týkající se covidu-19. Podle nich by si aplikaci měli stáhnout všichni, kdo na Hry přijíždějí, přičemž samotný vstup do Číny je podmíněn stažením této aplikace.
Sportovci musí zadat osobní údaje, například stav očkování a obecné zdravotní údaje. Kromě toho je třeba denně zadávat tělesnou teplotu a výsledky testů na přítomnost viru SARS Cov2.
Aplikace toho ale umí mnohem víc. Organizátoři Olympijských her doporučují používat službu My 2022 také pro komunikaci mezi sportovci a personálem. K tomuto účelu byly zabudovány také překladatelské funkce a základní informace pro pobyt během her.
To, co vypadá jako ideální aplikace pro sportovce, však skrývá obrovské bezpečnostní chyby, informovalo o tom před několika dny výzkumná skupina z Torontské univerzity.
Podle analýzy společnosti Citizen Lab je aplikace My 2022 ve svých veřejně přístupných dokumentech poměrně otevřená, pokud jde o typy údajů, které od uživatelů shromažďuje. Aplikace shromažďuje velmi citlivé lékařské informace a není jasné, s kým nebo s jakými organizacemi tyto informace sdílí.
Šifrování aplikace lze navíc „snadno obejít“, takže uživatelé jsou vystaveni útokům cizích osob, které by mohly ukrást jejich osobní zdravotní údaje a další citlivé údaje z jejich soukromé komunikace.
Mohou být přenášeny zdravotní celní formuláře, údaje z cestovního pasu, demografické informace a lékařská a cestovní historie, které jsou rovněž náchylné ke krádeži.
Podle hodnocení výzkumníků lze také zfalšovat odpovědi zasílané serverem, což hackerovi umožní zobrazit uživatelům falešné pokyny, které vypadají jako pokyny systému.
Žádná kontrola SSL
V případě domácích uživatelů shromažďuje služba My 2022 osobní údaje, jako je jméno, národní identifikační číslo, telefonní číslo, e-mailová adresa, profilový obrázek a informace o zaměstnání. Tyto údaje jsou sdíleny s organizačním výborem olympijských her v Pekingu pro rok 2022.
U zahraničních uživatelů aplikace shromažďuje další osobní údaje, včetně demografických informací a údajů o cestovním pasu (datum vydání a platnost) a organizaci, ke které patří.
Služba My 2022 sama popisuje, že osobní údaje uživatele může poskytnout bez souhlasu uživatele, pokud se to bude týkat záležitostí národní bezpečnosti, incidentů v oblasti veřejného zdraví a vyšetřování trestných činů.
Podle organizace Citizen Lab však zásady ochrany osobních údajů neupřesňují, kdo bude rozhodovat o tom, že budou informace zveřejněny, zda k tomu dojde na základě soudního příkazu nebo které organizace by informace obdržely.
Kanadští výzkumníci vidí významnou bezpečnostní mezeru v tom, že aplikace nekontroluje certifikáty SSL. To by mohlo potenciálním hackerům umožnit oklamat důvěryhodné servery narušením komunikace mezi aplikací a těmito servery.
Absence tohoto ověření znamená, že aplikace může být podvedena a připojit se ke škodlivému hostiteli, který je považován za důvěryhodného.
Takto mohou být zachycovány informace, které aplikace přenáší na server, a umožnit aplikaci zobrazit falešný obsah, který se tváří, že pochází z důvěryhodných serverů.
Cenzura „politicky citlivého“ obsahu
Dalším problémem je, že aplikace obsahuje funkce, které uživatelům umožňují nahlásit „politicky citlivý“ obsah. Za tímto účelem existuje seznam klíčových slov pro cenzuru. I když seznam není aktivní, podle Citizen Lab se i bez aktivace zaměřuje na různé politické otázky.
Aplikace My 2022 má funkci pro chatování v reálném čase, kanály zpráv a přenos souborů. Ve verzi aplikace pro Android výzkumníci objevili soubor s názvem „illegalwords.txt“, který obsahuje seznam 2 442 klíčových slov. Ta jsou čínským režimem obecně považována za politicky citlivé.
Citizen Lab však nedokázala určit, zda je seznam zcela neaktivní, nebo zda je stále záměrně neaktivní. Aplikace však obsahuje kódové funkce, které lze použít k cenzurování tohoto seznamu, ačkoli se v současné době nezdá, že by tyto funkce byly přístupné.
Pokud je seznam aktivní, mohou kódové funkce zablokovat uživatelům odesílání zpráv obsahujících tato slova. „Jedná se o běžně používaný nástroj pro cenzuru obsahu na čínských platformách sociálních médií,“ píše Citizen Lab.
Většina ze 2 442 klíčových slov je ve zjednodušené čínštině, malý počet v tibetštině, ujgurštině, tradiční čínštině a angličtině.
Mezi politicky motivovaná klíčová slova patří negativní odkazy na čínský politický systém a vnitrostranické boje o moc, například boj o moc mezi bývalými stranickými vůdci Chu Ťin-tchaoem a Ťiang Ce-minem („胡江内斗“).
Meditační praxe Falun Dafa (nazývaná také Falun Gong), kterou čínský režim zakázal v roce 1999, je na seznamu také zmíněna, a to s výrokem „Falun Dafa je dobrý“ („法轮大法好“). Mezi nežádoucí termíny patří také studentské prodemokratické hnutí Tchien-an-men z roku 1989 („Tiananmen暴乱“).
Výzkumníky však tato zjištění nepřekvapují. V Číně podle nich neexistují zákony ani zvláštní orgány, které by dohlížely na shromažďování a ochranu osobních údajů soukromými společnostmi.
My 2022 byla vyvinuta čínskou státní společností s názvem Beijing Financial Holdings Group, a nikoli samotným pekingským olympijským organizačním výborem, jak výbor tvrdí.
MOV zprávu odmítá
Mezinárodní olympijský výbor (MOV) a úřady v Pekingu zprávu Citizen Lab podle agentury Reuters odmítly. Ujišťují, že opatření na ochranu soukromí aplikace jsou v souladu s mezinárodními standardy a čínskými zákony.
„Uživatel má kontrolu nad tím, k čemu má aplikace ‚My 2022‘ na jeho zařízení přístup,“ uvedl MOV v prohlášení pro německý deník Deutsche Welle. Dodala, že aplikace My 2022 je důležitým nástrojem „v souboru opatření covid-19“.
Podle Deutsche Welle čínští představitelé pohrozili tresty těm, kteří poruší politické normy Komunistické strany Číny. Obavy společnosti Citizen Lab o bezpečnost uživatelů aplikace, že uživatelé budou prostřednictvím aplikace sledováni a cenzurováni, jsou proto varovným signálem, jakým způsobem bude čínský režim dodržování těchto norem monitorovat.
„Jakékoli chování nebo projevy, které porušují ducha olympijských her a zejména čínské zákony a předpisy, budou rovněž potrestány,“ řekl 18. ledna na tiskové konferenci Jang Šu, zástupce generálního ředitele pro mezinárodní vztahy pekingského organizačního výboru.
Nejenom zpráva Citizen Lab se obává o bezpečnost telefonů a dalších zařízení v Číně.
Americký tým doporučil svým sportovcům, aby si do Číny nebrali osobní zařízení, ale telefony na jedno použití. Obávají se, že by čínské úřady mohly tato zařízení sledovat a infikovat je škodlivým malwarem, uvedl deník Wall Street Journal.
Olympijští představitelé z Nizozemska, Kanady, Velké Británie, Belgie a Austrálie také doporučili sportovcům, aby si do Číny nebrali osobní telefony nebo zařízení.
Německé sdružení sdílí obavy
Německý olympijský sportovní svaz (DOSB) poskytne německým sportovcům chytré telefony od partnera MOV, společnosti Samsung. Ty je třeba používat pouze v Číně a doma je opět odinstalovat.
Organizace Athleten Deutschland e. V., která zastupuje více než tisíc sportovců, zaujala jasnější postoj a otevřeně kritizovala MOV.
„Čína zdokonalila svůj sledovací aparát, nechává zmizet kritiky a hrubě porušuje lidská práva,“ píše organizace ve svém prohlášení. Člověk by podle organizace „neměl být naivní a připravený na všechno“.
Athleten Deutschland také upozorňuje na možnost, že testy na koronavirus mohou být zmanipulované a sportovci sledovaní.
„MOV a organizátoři neprovedli dostatečně důkladnou kontrolu, jak ukazuje nejnovější zpráva ‚Citizen Lab‘. Je nevysvětlitelné a nezodpovědné, že MOV požaduje, aby účastníci používali aplikaci s tak zjevnými bezpečnostními chybami,“ uvedla asociace Athleten Deutschland.
Z původního článku německé redakce deníku The Epoch Times přeložila G. K.