Олімпійське кіберзанепокоєння. Чому атлети обмежують використання своїх гаджетів на олімпіаді

Перед поїздкою до Пекіна багато атлетів отримали настанови щодо використання смартфонів під час Зимової Олімпіади-2022. Ці рекомендації були ідентичними для спортсменів із різних країн світу. Їм не рекомендувалося брати із собою власні пристрої, а натомість поїхати з одноразовими телефонами або, принаймні, з дешевими моделями, які потім можна буде викинути. Такі поради були озвучені олімпійцям із Великобританії, США, Канади, Німеччини, Нідерландів та інших країн світу.

Смартфон для олімпійця

Деякі олімпійські комітети передбачливо роздали учасникам Олімпіади свої пристрої. Наприклад, тимчасові гаджети отримали учасники олімпійської збірної з Великобританії, канадцям видали смартфони та SIM-картки на час ігор, а атлетам з Німеччини – смартфон від Samsung, компанії, яка є партнером МОК. Водночас, учасникам деяких збірних, наприклад, канадської, рекомендовано обмежити доступ до особистої інформації на цих пристроях, а також дотримуватися інших правил цифрової безпеки, наприклад, підключатися тільки до офіційних Wi-Fi-мереж та обмежувати функцію передачі даних на цих пристроях.

Учасникам Ігор із США такі рекомендації були озвучені з боку ФБР та містили пораду взяти додатковий смартфон та бути готовим до можливих кібератак на їхні пристрої та дані. Серед потенційних небезпек представники спецслужб назвали віруси-шифрувальники, інші шкідливі програми, крадіжку персональних даних. Саме тому для атлетів провели тренінги та розповіли, що не варто заходити у свої акаунти у соцмережах, хоч і зробити це буде дуже проблематично, адже в Китаї блокують багато популярних соціальних сервісів, у тому числі Facebook, Twitter, YouTube.

У заяві ФБР сказано, що їхнім експертам не відомі конкретні кіберзагрози для учасників Олімпіади, а їхні дії спрямовані швидше на попередження та підвищення пильності атлетів.

Олімпіада у смартфоні

Учасники олімпіади не зможуть обійтись без гаджета під час ігор. Справа в тому, що ігри проводяться за умов безпрецедентних карантинних норм. Для того щоб контролювати можливе поширення коронавірусу, організатори олімпіади створили спеціальний мобільний додаток MY2022. З його допомогою атлетам пропонується надавати дані про своє здоров'я владі та організаторам Ігор. Без такого додатку потрапити на олімпіаду буде неможливо – причому як атлетам, так і акредитованим журналістам та навіть глядачам змагань.

Практика використання мобільних додатків для відстеження контактів в умовах пандемії була з перших місяців поширення Covid-19. Згодом стало ясно, що такі інструменти так і не стали популярними, часто вони були недостатньо безпечними або прозорими.

Правозахисники виявляли в таких додатках безліч вразливостей, зокрема ризики крадіжки даних, розширеного стеження за геолокацією та інші проблеми. У деяких країнах спроби використовувати такі програми закінчилися тим, що їх тимчасово забороняли для масового застосування.

Спроби створити таку програму для контролю захворювань робилися і перед Олімпіадою в Токіо влітку 2021 року. Одне з його завдань – відстеження контактів для боротьби з Covid-19, але від цієї практики відмовилися, оцінивши можливі ризики помилкового спрацьовування та витоків даних.

Головне завдання китайського MY2022 – відстеження контактів учасників Олімпійських ігор та оперативне інформування при захворюванні на коронавірус. Але перед прибуттям до Пекіна, за 14 днів до приїзду, учасники повинні були внести додаток не лише важливу медичну інформацію та симптоми, пов'язані з COVID-19, а й інші відомості про себе.

Крім цього, MY2022 призначено і для інших цілей. За задумом організаторів, цей інструмент є своєрідним довідником зі змагань, регулює доступ до змагань, містить стрічку результатів, що оновлюється в режимі реального часу. Також тут є чат та функція пересилання файлів.

Китайський мобільний шпигун

За кілька тижнів до Ігор експерти організації Citizen Lab, що займається кібербезпекою та захистом цифрових прав, проаналізували програму MY2022. У їх звіті сказано, що у додатку є безліч небезпечних функцій. Це обхід шифрування контенту всередині програми та даних, що передаються через нього. Аналітики назвали недостатньо захищеними сертифікати, що використовуються в програмі SSL. Це означає, що третя сторона може прочитати повідомлення (зашифровані за допомогою таких сертифікатів), які атлети надсилають один одному – як у текстовому вигляді, так і у вигляді голосових повідомлень. Більш того, певний контент у додатку MY2022 зовсім не шифрується. Ризик передачі незашифрованої інформації полягає в тому, що вона схильна до можливості доступу з-за допомогою атаки man-in-the-middle. Таку атаку можна застосувати до будь-якої інформації, що передається за допомогою смартфона, але якщо зловмисник зможе отримати доступ до зашифрованої інформації, перед ним стане ще серйозніше завдання її дешифрування. При використанні надійних сертифікатів та ключів шифрування на це може знадобитися багато часу. Якщо інформація не шифрується, то шляхом нескладних маніпуляцій, реалізувавши man-in-the-middle-атаку, зловмисник може читати все, що відправляє і отримує власник смартфона.

Коментуючи виявлені недоліки, експерти з Citizen Lab визначили, що вони можуть бути ненавмисними, адже китайський уряд і так отримає доступ до всіх даних цієї офіційної програми, тому йому не потрібно докладати для цього додаткових зусиль. А ось ризики для зовнішніх загроз, у тому числі перехоплення даних, для MY2022 цілком актуальні.

Другою проблемою експерти з Citizen Lab назвали великий обсяг даних, що збираються програмою. Серед них – відомості про здоров'я, зокрема дані про перенесені захворювання та історію поїздок. З одного боку, така інформація агрегується зі зрозумілою метою для захисту атлетів та учасників Олімпіади від коронавірусу. З іншого боку, розробники програми не повідомляють, куди та кому ці відомості можуть бути передані.

Крім того, дослідники виявили, що в додатку є список стоп-слів, згадки яких заборонені його користувачам. Ці слова – загалом, традиційні для Китаю "небезпечні" терміни про незалежність Тибету, історію про площу Тяньаньминь, репресії проти уйгурів та багато інших. Ці слова зібрані у спеціальний файл під назвою "illegalwords.txt", проте аналітики не знайшли, як саме він використовується. Але вони виявили функцію автоматичного надсилання скарги на повідомлення, якщо в ньому будуть використані слова, які одержувач визнає образливими, сумнівними або "політично чутливими".

Публікація звіту Citizen Lab супроводжувалася повідомленням розробників програми та магазинів мобільного програмного забезпечення Apple App Store і Google Play Market, бо, на думку експертів, такий софт порушує правила маркетплейстів для мобільних додатків. Проте відповіді ні від перших, ні від других не отримали.

Цифровий Китай: національні особливості

В описі програми MY2022 сказано, що він відповідає правовим вимогам до Китаю до інструментів, які працюють з персональними даними. Конфіденційні дані спортсменів перебувають під захистом китайських нормативних актів – наголошується у заявах місцевих чиновників.

Справді, наприкінці 2021 року у Китаї набув чинності закон про захист персональних даних, який забороняє незаконний збір даних та їх використання. Закон був прийнятий, швидше, для великих іноземних онлайн-сервісів, так само як і для власних інтернет-компаній і не тільки ускладнює для них і збирання, і обробку персональних даних, але ще й змушує їх доводити необхідність цих процесів.

MY2022 є офіційним державним додатком і вважається, що він виконує всі вимоги нових китайських законів. У той же час у країні, яка будує цифровий концтабір та тестує систему соціального рейтингу, існують обов'язкові для встановлення державні мобільні додатки, без яких важко взаємодіяти з офіційними структурами, наприклад, неможливо навіть записати дитину до школи. Такі програми запитують надто великі дозволи та доступи. Наприклад, їх не можна встановити без того, щоб дати їм доступ до списку контактів або історії веб-серфінгу. І в країні вже були випадки, коли людей запрошували до правоохоронних органів із питанням, чому ті читають іноземні новинні сайти.

Модель ІТ-диктатури, яку будує Китай, мабуть, проникла і на Олімпійські ігри. А додаток MY2022 став хорошим тестовим полігоном для тестування цифрового інструменту, який у майбутньому може бути обов'язковим, наприклад, для всіх туристів чи бізнесменів, які приїхали до країни.