Олимпийское кибербеспокойство. Почему атлеты ограничивают использование своих гаджетов на олимпиаде

Перед поездкой в Пекин многие атлеты получили наставления относительно использования смартфонов во время Зимней Олимпиады-2022. Эти рекомендации были идентичными для спортсменов из разных стран мира. Им не рекомендовалось брать с собой собственные устройства, а вместо этого поехать с одноразовыми телефонами или, по крайней мере, с дешевыми моделями, которые потом можно будет выбросить. Такие советы были озвучены олимпийцам из Великобритании, США, Канады, Германии, Нидерландов и ряда других стран мира.

Смартфон для олимпийца

Некоторые олимпийские комитеты предусмотрительно раздали участникам Олимпиады свои устройства. К примеру, временные гаджеты получили участники олимпийской сборной из Великобритании, канадцам выдали смартфоны и SIM-карты на время игр, а атлетам из Германии — смартфон от Samsung, компании, являющейся партнером МОК. Одновременно с этим, участникам некоторых сборных, к примеру, канадской, рекомендовано ограничить доступ к личной информации на этих устройствах, а также придерживаться других правил цифровой безопасности, к примеру, подключаться только к официальным Wi-Fi-сетям и ограничивать функцию передачи данных на этих устройствах.

Участникам Игр из США такие рекомендации были озвучены со стороны ФБР и содержали совет взять дополнительный смартфон и быть готовым к возможным кибератакам на их устройства и данные. Среди потенциальных опасностей представители спецслужб назвали вирусы-шифровальщики, другие вредоносные программы, кражу персональных данных. Именно поэтому для атлетов провели тренинги и рассказали, что не стоит заходить в свои аккаунты в соцсетях, хотя и сделать это будет весьма проблематично, ведь в Китае блокируют многие популярные социальные сервисы, в том числе Facebook, Twitter, YouTube.

В заявлении ФБР сказано, что их экспертам не известны конкретные киберугрозы для участников Олимпиады, а их действия направлены, скорее, на упреждение и повышение бдительности атлетов.

Олимпиада в смартфоне

Участники олимпиады не смогут обойтись без гаджета во время игр. Дело в том, что игры проводятся в условиях беспрецедентных карантинных норм. Для того, чтобы контролировать возможное распространение коронавируса, организаторы олимпиады создали специальное мобильное приложение MY2022. С его помощью атлетам предлагается предоставлять данные о своем здоровье властям и организаторам Игр. Без такого приложения попасть на олимпиаду будет невозможно — причем как атлетам, так и аккредитованным журналистам и даже зрителям состязаний.

Правозащитники обнаруживали в таких приложениях множество уязвимостей, в том числе — риски кражи данных, расширенной слежки за геолокацией и другие проблемы. В некоторых странах попытки начать использовать такие приложения закончились тем, что их временно запрещали для массового применения.

Попытки создать такое приложение для контроля заболеваний предпринимались и перед Олимпиадой в Токио летом 2021 года. Одна из его задач — отслеживание контактов для борьбы с Covid-19, но от этой практики отказались, оценив возможные риски его ошибочного срабатывания и утечек данных.

Главная задача китайского MY2022 — отслеживание контактов участников Олимпийских игр и оперативное информирование при заболевании коронавирусом. Но перед прибытием в Пекин, за 14 дней до приезда, участники должны были внести в приложение не только важную медицинскую информацию и симптомы, связанные с COVID-19, но и другие сведения о себе.

Кроме этого, MY2022 предназначено и для других целей. По замыслу организаторов, этот инструмент представляет собой своеобразный справочник по соревнованиям, регулирует доступ к состязаниям, содержит обновляемую в режиме реального времени ленту результатов. Также здесь есть чат и функция пересылки файлов.

Китайский мобильный шпион

За несколько недель до Игр эксперты организации Citizen Lab, занимающейся кибербезопасностью и защитой цифровых прав, проанализировали приложение MY2022. В их отчете сказано, что в приложении присутствует множество опасных функций. Это обход шифрования контента внутри приложения и передаваемых через него данных. Аналитики назвали недостаточно защищенными используемые в приложении SSL-сертификаты. Это означает, что третья сторона может прочесть сообщения (зашифрованные с помощью таких сертификатов), которые атлеты пересылают друг другу — как в текстовом виде, как и в виде голосовых сообщений. Более того — некоторый контент в приложении MY2022 вовсе не шифруется. Риск передачи незашифрованной информации состоит в том, что она подвержена возможности доступа из вне посредством атаки man-in-the-middle. Такую атаку можно применить к любой информации, передаваемой с помощью смартфона, но если злоумышленник сможет получить доступ к зашифрованной информации, перед ним станет еще более серьезная задача ее дешифровки. При использовании надежных сертификатов и ключей шифрования, на это может понадобиться очень много времени. Если же информация не шифруется, то путем несложных манипуляций, реализовав man-in-the-middle-атаку, злоумышленник может читать все, что отправляет и получает владелец смартфона.

Комментируя выявленные недостатки, эксперты из Citizen Lab определили, что они могут быть непреднамеренными, ведь китайское правительство и так получит доступ ко всем данным этого официального приложения, поэтому ему не нужно прилагать для этого дополнительные усилия. А вот риски для внешних угроз, в том числе, перехват данных, для MY2022 вполне актуальны.

Второй проблемой эксперты из Citizen Lab назвали большой объем данных, собираемых приложением. Среди них — сведения о здоровье, в том числе данные о перенесенных заболеваниях и история поездок. С одной стороны, такая информация агрегируется с понятной целью — для защиты атлетов и участников Олимпиады от коронавируса. С другой стороны, разработчики приложения не сообщают, куда и кому эти сведения могут быть переданы.

Кроме всего этого, исследователи обнаружили, что в приложении есть список стоп-слов, упоминания которых запрещены его пользователям. Эти слова — в общем, традиционные для Китая “опасные” термины о независимости Тибета, истории о площади Тяньаньмэнь, репрессиях против уйгуров и многие другие. Эти слова собраны в специальный файл под названием “illegalwords.txt”, однако аналитики не нашли, как именно он используется. Но они обнаружили функцию автоматической отправки жалобы на сообщение, если в нем будут использованы слова, которые получатель сочтет оскорбительными, сомнительными либо “политически чувствительными”.

Публикация отчета Citizen Lab сопровождалась уведомлением разработчиков приложения и магазинов мобильного ПО Apple App Store и Google Play Market, ибо, по мнению экспертов, такой софт нарушает правила маркетплейстов для мобильных приложений. Однако ответы ни от первых, ни от вторых получены не были.

Цифровой Китай: национальные особенности

В описании приложения MY2022 сказано, что оно соответствует действующим в Китае правовым требованиям к инструментам, которые работают с персональными данными. Конфиденциальные данные спортсменов находятся под защитой китайских нормативных актов — это подчеркивается в заявлениях местных чиновников.

Действительно, в конце 2021 года в Китае вступил в силу закон о защите персональных данных, который запрещает незаконный сбор данных и их использование. Закон был принят, скорее, для крупных иностранных онлайн-сервисов, равно как и для собственных интернет-компаний и не только усложняет для них и сбор, и обработку персональных данных, но еще и заставляет их доказывать необходимость этих процессов.

Приложение MY2022 является официальным государственным приложением и считается, что оно выполняет все требования новых китайских законов. В то же время, в стране, которая строит цифровой концлагерь и тестирует систему социального рейтинга, существуют обязательные для установки государственные мобильные приложения, без которых сложно взаимодействовать с официальными структурами, к примеру, невозможно даже записать ребенка в школу. Такие приложения запрашивают слишком большие разрешения и доступы. К примеру, их нельзя установить без того, чтобы дать им доступ к списку контактов или истории веб-серфинга. И в стране уже были случаи, когда людей приглашали в правоохранительные органы с вопросом о том, почему те читают иностранные новостные сайты.

Модель ИТ-диктатуры, которую строит Китай, вероятно, проникла и на Олимпийские игры. А приложение MY2022 стало хорошим тестовым полигоном для тестирования цифрового инструмента, который в будущем может быть обязательным, например, для всех туристов или бизнесменов, приехавших в страну.