Čínští organizátoři olympiády rozhodli, že každý účastník (sportovci, novináři, diváci...) si musí nainstalovat státem vyvinutou mobilní aplikaci My 2022. Ta má sledovat zdravotní stav, zejména s ohledem na covid, ale nabízí i další funkce: textový i hlasový chat, aktuální informace o hrách a další.
CitizenLab, laboratoř v rámci University of Toronto, provedla bezpečnostní analýzu této aplikace a zjistila zajímavé věci.
Největší problém podle vědců je to, že aplikace při komunikaci se servery, na které odesílá data, neověřuje platnost HTTPS certifikátu. To znamená potenciální ohrožení pro osobní údaje uživatelů, citlivé údaje o jejich zdravotním stavu nebo obsah hlasových a textových zpráv. Neověřování certifikátu znamená, že kdokoliv má přístup k datovým přenosům uživatele, může komunikaci přesměrovat na svůj server a získat tak uživatelem zadaná data nebo naopak podvrhnout obsah, který se v aplikaci zobrazí.
Nedávno jste již předplatné aktivoval
Je nám líto, ale nabídku na váš účet v tomto případě nemůžete uplatnit.
Tento článek pro vás někdo odemknul
Obvykle jsou naše články jen pro předplatitele. Dejte nám na sebe e-mail a staňte se na den zdarma předplatitelem HN i vy!
Navíc pro vás chystáme pravidelný výběr nejlepších článků a pohled do backstage Hospodářských novin.
Zadejte e-mailovou adresu
Zadejte e-mailovou adresu. Zadaná e-mailová adresa je ve špatném formátu.
Máte již účet? Přihlaste se.
Zpracování osobních údajů a obchodní sdělení
Využitím nabídky beru na vědomí, že mé osobní údaje budou zpracovány dle Zásad ochrany osobních a dalších zpracovávaných údajů, a souhlasím se Všeobecnými obchodními podmínkami vydavatelství Economia, a.s.
Přihlaste se,
nebo si jen přečtěte odemčený článek bez přihlášení.
Zdá se, že už se známe
Pod vámi uvedenou e-mailovou adresou již evidujeme uživatelský účet.
Děkujeme, teď už si užijte váš článek zdarma
Od tohoto okamžiku můžete číst neomezeně HN na den zdarma. Začít můžete s článkem, který pro vás někdo odemknul.
V e-mailu máte odkaz k nastavení hesla a dokončení registrace. Je to jen pár kliků, po kterých můžete číst neomezeně HN na den zdarma. Ale to klidně počká, zatím si můžete přečíst článek, který pro vás někdo odemknul.
Pokračovat na článekDále pak aplikace obsahuje soubor se seznamem „zakázaných slov“ v čínštině, tibetštině a ujgurštině. Cenzura obsahu komunikace je v čínských službách de facto povinná, ale tato aplikace neobsahuje žádnou funkcionalitu, která by tento seznam využívala.
Výzkumníci ze CitizenLabu informovali již na začátku prosince organizační výbor olympiády o nalezených bezpečnostních zranitelnostech, ale nedočkali se žádné reakce. Mezitím sice vyšla nová verze aplikace, popsané problémy ovšem neodstranila.
Znamená tato aplikace pro uživatele nebezpečí? Je, třeba pro české sportovce, bezpečnostním rizikem? Na tuto otázku se nedá odpovědět úplně snadno, ale nejzodpovědnější odpověď je „nejspíš prakticky ne“. Což ale neznamená, že je vše v pořádku a měli byste si aplikaci vyvinutou z pokynu komunistické strany Číny okamžitě nainstalovat. Na celou problematiku je nezbytné se dívat šířeji.
Strana ovládá všechno
Aplikace sama působí dojmem, že je standardním produktem běžného čínského softwarového inženýrství. Což znamená, lapidárně řečeno, že stojí za houby. Je obecně známo, a lze dokázat na mnoha aplikacích čínské provenience, že v Číně umí hardware, ale software jim moc nejde. Většina čínského softwaru jsou náhodně slepené fragmenty kódu, které autor přesouvá tak dlouho, dokud to nezačne dělat přibližně to, co se od programu očekává. A zvládne to bez jakéhokoliv vnitřního porozumění tomu, co kód dělá a jaké to má následky. Za (ne)kvalitou aplikace My 2022 bych tedy nehledal nějaký zlý úmysl čínské vlády, jak šmejdit uživatelům v telefonech, ale prostý šlendrián.
Ostatně to není potřeba, protože veškerá komunikace jde na servery provozované čínskými státními firmami. Není tak třeba nic složitě hackovat na klientovi, když data má stát k dispozici na serveru. Z bezpečnostního hlediska chyba umožní útoky lokálně působících subjektů, což je samozřejmě riziko, ale dle mého názoru nijak extrémní. A hlavně, každý účastník her v Číně bude vystaven mnohem horším bezpečnostním rizikům, což činí jakékoliv chování této aplikace naprosto irelevantním.
Veškerá elektronická komunikace účastníků her bude pod kontrolou čínských orgánů a firem, které jsou pevně spjaty se státem. Mobilní sítě, speciální olympijská wi-fi síť, to všechno bude pod výhradní kontrolou organizací, které jsou z logiky věci podřízeny čínskému mocenskému aparátu. Povaha her navíc umožní i útoky na hardware, kterým se říká evil maid attack a které spočívají v možnosti útočníka fyzicky zasáhnout do zařízení oběti, třeba z pozice pokojské v hotelu, když je host mimo svůj pokoj.
Praktické rady pro účastníky
Jaké je tedy doporučení pro účastníky her? Nechte svůj běžně používaný mobil a notebook doma. Do Číny si s sebou vezměte jiný mobil, na který nainstalujete jenom to nejnutnější a zmíněnou oficiální aplikaci. Nenahrávejte na něj žádná citlivá data. Po návratu tento mobil uveďte zpět do továrního nastavení nebo rovnou zničte (proto se tomu říká „burner phone“). Změňte hesla ke všem službám, které jste z tohoto mobilu používali (a pokud to jde, použijte dvoufázové ověření identity, to byste měli udělat u všech internetových služeb).
Možná se vám moje doporučení zdá přehnané, ale jde o standardní postup pro případ, kdy se vydáváte do pro vás nepřátelské oblasti. Obecně by tato pravidla měl dodržovat každý, kdo cestuje do Ruska, Číny a podobných oblastí. V obzvláštním nebezpečí pak jsou ti, kdo se účastní velkých akcí, kde se očekává účast mnoha zahraničních hostů, a to takových, kteří jsou z bezpečnostního hlediska zajímaví, hodnotní. Zatímco cílený útok na osamělého turistu je málo pravděpodobný, lze pokládat za jisté, že účastníci olympiády, zejména novináři, sportovci a funkcionáři, budou terčem rozvědných snah čínských bezpečnostních služeb.
Olympijské výbory mnoha zemí jsou si tohoto nebezpečí vědomy. Nizozemští účastníci her budou mít zakázáno používat svá osobní zařízení a dostanou speciální telefony a notebooky, které budou po návratu zničeny (což je podle dostupných informací již léta běžná praxe pro všechny nizozemské diplomaty a státní úředníky při cestách do Číny). I britský olympijský výbor nabídne účastníkům speciální zařízení. Australský tým zase na místě bude provozovat vlastní wi-fi síť. I v Kanadě a USA se toto téma řeší a účastníkům je doporučena maximální obezřetnost a technická pomoc.
A jak se k věci staví Český olympijský výbor? Ve vyjádření pro Aktuálně.cz šéfka komunikace ČOV uvedla: „Máme důvěru v organizátory, že internetové připojení v olympijských vesnicích a na sportovištích bude bezpečné. Navíc je během her zaručený svobodný přístup k internetu.“ Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) od problému také dává ruce pryč, protože celá záležitost nespadá do jeho kompetencí.
A to vše v situaci, kdy se Čína na české občany snaží dlouhodobě působit, ovlivňovat klíčové osoby různými prostředky od úplatků přes různé formy nátlaku až po vydírání. Komunistické vedení Číny ČR dlouhodobě považuje za vhodnou bránu do Evropy a tomu odpovídá i míra pozornosti, kterou českým občanům věnují její tajné služby. Ve svých zprávách na to opakovaně upozorňuje i Bezpečnostní informační služba. Její slova zjevně nepadají na úrodnou půdu, což je ostatně zřejmé i ze stoupající míry zoufalství ve formulacích, které v jinak kulantních zprávách najdeme.
Inu, je lepší být šéfem 中央军委联合参谋部情报局 (čínské zahraniční vojenské rozvědky) než české BIS. Už jenom proto, že jméno Michala Koudelky si může snadno vyhledat každý, zatímco identita jeho čínského protějšku je pro běžné smrtelníky zahalena tajemstvím.
