Un’app che tutti i partecipanti alle Olimpiadi invernali di Pechino 2022 dovranno utilizzare presenta un difetto che consente di eludere la crittografia dei dati sensibili e inoltre censura parole relative alle violazioni dei diritti umani da parte del regime cinese.
Citizen Lab, un istituto di ricerca sulla sicurezza globale presso la Munk School of Global Affairs and Public Policy dell’Università di Toronto, ha pubblicato il 18 gennaio lo studio che ha analizzato l’app, chiamata My2022.
Tutti i partecipanti alle Olimpiadi invernali di Pechino, inclusi atleti, membri del pubblico e giornalisti, devono installare l’app per partecipare ai Giochi, che inizieranno il 4 febbraio.
Trasmissione di dati degli utenti
La Cina richiede a tutti i partecipanti nazionali e internazionali ai Giochi di scaricare l’app 14 giorni prima del loro arrivo. Gli utenti dovranno monitorare e inviare quotidianamente il proprio stato di salute tramite l’app.
Il rapporto di Citizen Lab afferma che l’app, che raccoglie i documenti pubblici degli utenti e una serie di dati medici altamente sensibili, contiene un «difetto semplice ma devastante», che consente di «aggirare banalmente» la crittografia che protegge le informazioni. «My2022 non convalida i certificati Ssl e quindi non convalida a chi sta inviando dati sensibili e crittografati», ha scritto l’autore dello studio Jeffrey Knockel. «Questa mancata convalida significa che l’app può essere indotta con l’inganno a connettersi a un host dannoso credendo che sia un host affidabile, cosa che consente di intercettare le informazioni che l’app trasmette ai server», ha scritto Knockel, aggiungendo che le vulnerabilità esistono in entrambe le versioni dell’app, per iOs e Android.
Parole censurate
My2022 sull’App Store di Apple afferma che l’app mobile offre un’ampia gamma di funzioni di comunicazione come la messaggistica istantanea e altri servizi di informazione per viaggi, alloggi e cibo.
Ma i ricercatori di Citizen Lab hanno scoperto un file chiamato «illegalwords.txt» in bundle con la versione Android di My2022, che include un elenco di oltre 2.400 parole chiave generalmente considerate politicamente sensibili dal Partito Comunista Cinese (Pcc) al potere.
Tra l’elenco delle parole chiave censurate c’erano i termini «Falun Gong», «Congresso mondiale degli uiguri», «Libertà del Tibet» e «massacro di Tienanmen», parole che si riferiscono a minoranze etniche e religiose perseguitate dal Pcc e alle atrocità dei diritti umani che il regime ha commesso.
L’elenco include anche i termini cinesi per Epoch Times e il suo media partner Ntd. Sono elencati anche riferimenti neutrali ai nomi degli attuali ed ex leader cinesi, nonché alle agenzie governative, afferma il rapporto.
La maggior parte delle parole chiave vietate sono elencate in cinese semplificato, con una piccola parte in tibetano, uiguro, cinese tradizionale e inglese. La maggior parte delle parole chiave fa riferimento a pornografia, parolacce e beni illegali, che sono analogamente vietate su altre app cinesi.
«Le piattaforme internet che operano in Cina sono legalmente obbligate a controllare i contenuti comunicati sulle loro piattaforme o ad affrontare sanzioni in caso contrario», ha scritto Knockel. «Definizioni vaghe di contenuto proibito sono spesso chiamate ‘crimini tascabili’ […] Tali crimini sono utilizzati dal governo cinese per limitare l’espressione politica e religiosa su internet».
Nessuna risposta
Citizen Lab ha dichiarato di aver informato il Comitato Organizzatore dei Giochi Olimpici e Paralimpici Invernali di Pechino 2022 dei problemi di sicurezza del My2022 il 3 dicembre 2021. Ma al 18 gennaio non ha ricevuto risposta. Il laboratorio ha anche osservato che gli sviluppatori dell’app hanno rilasciato un aggiornamento il 17 gennaio, ma le vulnerabilità sono rimaste irrisolte.
La Cina ha più volte minato le tecnologie di crittografia per «censura e sorveglianza politica» ed è nota per sfruttare «le comunicazioni di rete non crittografate allo scopo di lanciare attacchi man-in-the-middle», ha affermato Knockel, l’autore dello studio.
Non è chiaro se la crittografia di My2022 sia stata «sabotata intenzionalmente a fini di sorveglianza o se il difetto sia nato dalla negligenza degli sviluppatori». Knockel fa comunque notare che i dati raccolti tramite l’app vengono già direttamente inviati al governo, senza il bisogno di metodi indiretti: «Sebbene sia possibile che la debolezza nella crittografia delle informazioni doganali sanitarie sia un danno collaterale dovuto all’intenzionale indebolimento della crittografia di altri tipi di dati che il governo cinese avrebbe interesse ad intercettare, il nostro lavoro precedente suggerisce che una protezione insufficiente dei dati degli utenti è endemico nell’ecosistema delle app cinesi».
«Sebbene alcuni lavori abbiano attribuito l’intenzionalità alla scarsa sicurezza del software scoperta nelle app cinesi, riteniamo che una mancanza di sicurezza così diffusa sia meno probabile che sia il risultato di una vasta cospirazione del governo, ma piuttosto il risultato di una spiegazione più semplice, come priorità diverse per gli sviluppatori di software in Cina».
Articolo in inglese: China’s App for Olympians Has Security Flaw, Censors Sensitive Words, Says Canadian Report
