- Global Voices in Italiano - https://it.globalvoices.org -

Controllore della sicurezza internet trova un difetto di crittografia nella app obbligatoria per i giochi olimpici cinesi

Categorie: Asia orientale, Cina, Citizen Media, Diritti umani, Sport, Tecnologia, COVID-19, Advox
[1]

Una videata della app MY2022 via Citizen Lab.

Citizen Lab, un controllore per la libertà in internet con sede a Toronto, ha riscontrato un “difetto devastante” [1] (en, come tutti i link seguenti) che mette a rischio le comunicazioni criptate nell'app My2022 per cellulari, una app per il tracciamento sanitario, obbligatoria per tutti i partecipanti ai giochi olimpici invernali di Pechino. Questo buco nella sicurezza renderebbe tutti i dati personali – compresi i file audio, le situazioni sanitarie, i dati dei passaporto, l'anamnesi medica e la cronistoria dei viaggi – vulnerabili all'utilizzo da terze parti. 

Anche un'altra società di cybersecurity, Internet 2.0, ha emesso un’avviso [2] in merito a pratiche di controllo diffuse in Cina ed ha suggerito ai partecipanti di oltreoceano di lasciare a casa i loro telefoni ed utilizzare telefoni usa e getta in Cina.

Il comitato olimpico internazionale (CIO) ha però respinto [3] la verifica di sicurezza di Citizen Lab’s ed assicurato che la app di verifica sanitaria di Pechino “non presenta vulnerabilità critiche” sulla base di verifiche condotte da due organizzazioni indipendenti di  cybersecurity. 

Agli atleti, giornalisti e partecipanti ai giochi olimpici invernali di Pechino si richiede di utilizzare l'app My2022 a partire da 14 gg prima di volare in Cina. Agli utilizzatori viene richiesto di presentare,  tramite l'app, le informazioni sanitarie e cronistoria dei viaggi, compresi i risultati dei test  COVID-19 ed i certificati di vaccinazione, L'app di tracciamento sanitario ha anche funzioni informative, di messaggistica audio e video e di condivisione file.

Il rapporto di Citizen Lab pubblicato il 18 gennaio evidenzia come l'app My2022 potrebbe non validare i certificati SSL con almeno cinque server, ed il loophole permetterebbe agli attaccanti di intercettare le comunicazioni criptate e rubare dati privati ingannando l'app connettendosi ad host maligni. In altre parole, il difetto ha totalmente disabilitato la funzione di crittografia.

La ricerca ha inoltre riscontrato che l'app trasmette dati sensibili ad un host senza alcuna protezione di sicurezza; di conseguenza “i dati possono venire letti da qualsiasi intercettatore passivo, come qualcuno nel raggio di un punto di accesso wifi non sicuro.”

Il controllore canadese della libertà in internet ha inoltre trovato una lista di censura di 2.000 parole, tra cui termini sensibili come Xinjiang, Tibet, Dalai Lama, ecc. inserita nella app con il nome  “illegalwords.txt.” (parole illegali). La funzione di censura non é però stata attivata.

Citizen Lab ha reso pubblici i suoi riscontri al CIO il 3 dicembre 2021, dando 15 giorni di scadenza per una risposta sostanziale e 45 giorni per  risolvere il problema. Ha emesso il proprio rapporto il 18 gennaio dopo che la scadenza dei 15 giorni era trascorsa.

Lo stesso giorno Internet 2.0 ha emesso un rapporto dimostrando come la legge per la sicurezza nazionale cinese avesse interessato il comportamento delle società nel supportare la sorveglianza di stato nella progettazione delle proprie applicazioni per cellulare. La ditta di cybersecurity ha avvisato che “tutti gli atleti ed i visitatori in Cina per le olimpiadi saranno soggetti a tali leggi ed alla cultura di sorveglianza.”

Raccomanda inoltre che gli atleti olimpici ed i visitatori utilizzino un telefono nuovo con un account e-mail temporaneo durante il soggiorno in Cina e li mette in guardia contro l'uso dei  telefoni usa e getta dopo l'uscita dalla Cina, al fine di impedire che i dati dei loro account cloud possano venire raccolti da app per cellulari ed operatori cinesi. 

Sebbene il CIO abbia respinto i dubbi di sicurezza, il comitato olimpico statunitense ha detto ai propri atleti [4] di portare a Pechino un telefono usa e getta, in quanto “si deve presumere che ogni dispositivo ed ogni comunicazione, transazione ed attività online verrà monitorata” in Cina. 

Il gruppo di atleti tedesco Athleten Deutschland ha criticato [5] il CIO affermando che “é inesplicabile ed irresponsabile da parte del CIO richiedere ai partecipanti di utilizzare una app con tali evidenti vulnerabilità di sicurezza.”

In risposta ai dubbi internazionali sulla sicurezza, il media CGTN cinese di stato ha riportato [6]l'analista tecnico Andy Mok che ha licenziato il rapporto di Citizen Lab come “un attacco ben coordinato per creare un impatto negativo sul pubblico per i giochi olimpici in arrivo”. A tale accusa, lo specialista per la libertà in internet Oliver Linow  ha risposto a DW:

A me interessano fatti e prove. @citizenlab fornisce un rapporto dettagliato e trasparente. Il BOC (comitato di controllo) é stato informato della vulnerabilità della sicurezza il 3 dicembre. il CIO asserisce che l'app  #my2022 sia stata rivista da due organizzazioni di sicurezza indipendenti. Dettagli?