Die obligatorische Smartphone-App, die jeder, der im nächsten Monat an den Olympischen Winterspielen in China teilnimmt, verwenden muss, hat einen „einfachen, aber verheerenden Fehler“ in seiner Verschlüsselung, der laut einer kanadischen Datenschutz- und Menschenrechtsgruppe gespeicherte Daten von Benutzern, Sprache, Dateiübertragung und medizinische Daten gefährdet .

In einem heute veröffentlichten Bericht, behauptet das Citizen Lab der University of Toronto, dass die MY2020-App auch das Spoofing von Serverantworten ermöglicht, was es einem Angreifer ermöglicht, Benutzern gefälschte Anweisungen anzuzeigen, und eine Liste von zensurinaktiven Schlüsselwörtern in aktuellen Versionen – die auf eine Vielzahl politischer Themen abzielt, einschließlich nationaler Themen wie Xinjiang und Tibet sowie Verweise auf chinesische Regierungsbehörden.

Citizen Lab bezweifelt jedoch, dass die SSL-Verschlüsselungslücken bewusst platziert wurden. Stattdessen stellt er fest, dass ein unzureichender Schutz der Benutzerdaten „in Chinas App-Ökosystem endemisch“ sei. Er weist auch darauf hin, dass die Gesundheitsdaten, die Nutzer in die App eingeben müssen, ohnehin separat bei der chinesischen Regierung hinterlegt werden müssen.

Tatsächlich, fügt der Bericht hinzu, kann die unsichere Übertragung personenbezogener Daten von MY2022 eine direkte Verletzung der chinesischen Datenschutzgesetze sowie der Google-Richtlinie zu unerwünschter Software und der Google-Richtlinien für den App Store darstellen.

Der Bericht hebt auch hervor, dass die chinesische Regierung bedeutende Schritte unternommen hat, um die invasive Erfassung und Misswirtschaft personenbezogener Daten durch Unternehmen einzudämmen, wobei sie weitgehend globalen Ansätzen zum Schutz personenbezogener Daten folgt.

MY2022 ist eine Kombination aus COVID-19-Kontaktverfolgungsprogramm und App. Es umfasst touristische Empfehlungen, GPS-Navigation und einen Bereich für Gesundheitsinformationen im Zusammenhang mit COVID-19 wie Impfungen und den täglichen Gesundheitszustand.

Alle internationalen und inländischen Spieleteilnehmer müssen die App 14 Tage vor ihrer Abreise nach China herunterladen und beginnen, ihren Gesundheitszustand jeden Tag zu überwachen und an die App zu übermitteln.

MY2022 wurde vom Pekinger Organisationskomitee gebaut. Öffentliche Aufzeichnungen zeigen, dass die App einem staatlichen Unternehmen namens Beijing Financial Holdings Group gehört.

Dem Bericht zufolge ist die App „ziemlich unkompliziert“ in Bezug auf die Arten von Daten, die sie von Benutzern in ihren öffentlich zugänglichen Materialien sammelt.

Die Anwendung hat jedoch zwei Fehler: Sie validiert keine SSL-Zertifikate und kann daher nicht validieren, an wen sie sensible und verschlüsselte Daten sendet. Dies kann es einem Angreifer ermöglichen, vertrauenswürdige Server zu fälschen, indem er die Kommunikation zwischen der App und diesen Servern stört, heißt es in dem Bericht. Obwohl die Forscher feststellten, dass einige Verbindungen nicht anfällig waren, stellten sie fest, dass SSL-Verbindungen zu mindestens fünf Servern anfällig waren.

Zweitens gibt es Datenübertragungen, die MY2022 nicht mit Verschlüsselung schützt. Forscher entdeckten beispielsweise, dass MY2022 unverschlüsselte Daten an „tmail.beijing2022.cn“ – einen der oben erwähnten anfälligen Server – auf Port 8099 überträgt. Diese Übertragungen enthalten sensible Metadaten über die Nachrichten, einschließlich der Namen von Nachrichtensendern und -empfängern und ihre Benutzerkontokennungen. „Diese Daten können von jedem passiven Lauscher gelesen werden, beispielsweise von jemandem in Reichweite eines ungesicherten WLAN-Hotspots, von jemandem, der einen WLAN-Hotspot betreibt, von einem Internetdienstanbieter oder einem anderen Telekommunikationsunternehmen“, heißt es in dem Bericht.

Am 3. Dezember 2021 wurden die Sicherheitsbedenken dem Pekinger Organisationskomitee für die Olympischen und Paralympischen Winterspiele 2022 mitgeteilt, bis zum 18. Januar keine Antwort.

Am 17. Januar veröffentlichten die Entwickler Version 2.0.5 der iOS-Version von MY2022 im Apple App Store. Die Probleme seien nicht gelöst worden. Tatsächlich hat die App eine neue Funktion namens “Grüner Gesundheitskodex“, deren Datenübertragungen gleichermaßen anfällig waren, da diese Übertragungen auch mit einer SSL-Implementierung instrumentiert wurden, die SSL-Zertifikate nicht validierte. Die Funktion „Grüner Gesundheitskodex“ fordert Informationen zu Reisedokumenten und zur Krankengeschichte an, ähnlich wie Informationen, die wir zuvor gefunden haben, die unsicher von der anfälligen Zollgesundheitserklärungsfunktion der App übertragen wurden.

“Unsere Ergebnisse zur Analyse von MY2022 sind zwar besorgniserregend, aber nicht besonders überraschend für in China betriebene Apps und manchmal von chinesischen Unternehmen entwickelte Apps. Viele Jahre lang gab es in China keine spezifischen Gesetze oder Behörden, die die Erfassung und den Schutz personenbezogener Daten durch private Unternehmen überwachen. “, heißt es in dem Bericht.