Internacional
App dos Jogos de Pequim tem falhas de segurança
uem for à China para os Jogos de 2022 deve documentar seu estado de saúde. O aplicativo My2022 é destinado a este fim, mas ele tem sérias lacunas de segurança, aponta um relatório disponível exclusivamente para a DW
Atletas de todo o mundo estão se preparando para os Jogos Olímpicos de Inverno em Pequim. Este ano, os preparativos incluem também a observação dos regulamentos sanitários por causa da pandemia de covid-19. Aos atletas é solicitado que instalem o aplicativo oficial My 2022 em seus smartphones.
Entretanto, os dados são mal criptografados pelo aplicativo, o que pode deixar atletas olímpicos, jornalistas e dirigentes esportivos vulneráveis a hackers, a violações de privacidade e violações de dados, conforme aponta um relatório do laboratório interdisciplinar Citizen Lab, da Universidade de Toronto, disponível exclusivamente para a Deutsche Welle.
Atletas, jornalistas e dirigentes esportivos estão assim expostos a sérios perigos. Sua privacidade pode ser desrespeitada e seus dados não são protegidos contra roubo e vigilância. Além disso, os especialistas em informática forense encontraram uma lista de censura no aplicativo.
A segurança dos dados nos Jogos de Inverno de Pequim já vinha sendo criticada: Alemanha, Austrália, Reino Unido e Estados Unidos pedem a seus comitês olímpicos e a seus atletas que deixem celulares pessoais e laptops em casa. Em vez disso, sugerem levar apenas dispositivos provisórios para os Jogos, tão grande é o medo da espionagem digital.
Precisamente por esse motivo, o Comitê Olímpico Holandês chegou a proibir explicitamente seus atletas de levar smartphones e laptops pessoais para a China.
My2022: rastreamento de contatos e muito mais
Os Jogos Olímpicos de Inverno começam em 4 de fevereiro e serão o segundo grande evento olímpico em plena pandemia de coronavírus. Por isso, não surpreende que exista um aplicativo para smartphone, da mesma forma como nos recentes Jogos de Tóquio, para rastrear possíveis infecções de atletas.
De acordo com o Comitê Olímpico Internacional (COI), todos os que estiverem na “bolha olímpica” especialmente criada, sejam atletas, treinadores, repórteres, dirigentes esportivos, sejam os milhares de funcionários locais, devem inserir seus dados de saúde no aplicativo My2022 ou num website.
O objetvio oficial do aplicativo desenvolvido na China é monitorar a saúde dos participantes olímpicos e rastrear contatos em caso de testes positivos de covid-19.
Não apenas os dados do passaporte e informações pessoais sobre o status da viagem são inseridos no aplicativo, mas também informações médicas confidenciais. Por exemplo, se a pessoa recentemente teve sintomas típicos da covid-19, como febre, cansaço, dor de cabeça, tosse seca, diarreia ou dor de garganta. Quem vem do exterior, deve começar a inserir dados de saúde 14 dias antes de entrar no país asiático.
Em muitos países, o rastreamento de contatos baseado num aplicativo é considerado um meio moderno de combater a pandemia do novo coronavírus. Mas o aplicativo chinês My2022 vai muito além disso: ele também regula as autorizações de acesso a eventos olímpicos, oferece ampla informação aos visitantes sobre o programa e a organização da competição, oferece serviços turísticos para visitantes e ainda contém funções de bate-papo (texto e áudio), feeds de notícias e transferências de arquivos para usuários. Ou, como diz a descrição na loja da Apple: o aplicativo oferece a opção de ajustar as configurações para diferentes tipos de usuários “para curtir os Jogos Olímpicos sob todos os aspectos em um único aplicativo”.
Transmissão insegura de dados
As lacunas no aplicativo foram descobertas por pesquisadores do Citizen Lab, que realiza pesquisas sobre segurança digital em torno de questões de direitos humanos e é afiliado à Munk School of Global Affairs da Universidade de Toronto. O Citizen Lab já esteve envolvido na revelação do software espião Pegasus.
O ponto específico de crítica diz respeito aos chamados certificados SSL, que devem garantir que o tráfego de dados ocorra apenas entre dispositivos e servidores confiáveis. Mas, de acordo com o relatório do Citizen Lab, estes não são verificados quanto à validade. Esta falta de validação dos certificados SSL representa uma grave falha de segurança.
Como resultado, o aplicativo pode ser levado a se comunicar com um servidor malicioso, fazendo com que dados sejam espionados ou mesmo com que dados malignos sejam enviados de volta para o aplicativo. Essa vulnerabilidade foi encontrada por Jeffrey Knockel, do Citizen Lab, não só no que diz respeito aos dados de saúde, mas também em outros serviços importantes oferecidos no aplicativo, como o processamento dos anexos de arquivos e as mensagens de voz.
Além disso, o especialista em TI também descobriu que, para alguns serviços, o tráfego de dados no aplicativo não é de forma alguma criptografado. Isso significa que os metadados do próprio serviço de bate-papo do aplicativo podem ser lidos muito facilmente por um espião. “Nossa pesquisa mostrou que as medidas de segurança do aplicativo My2022 são completamente ineficazes e não protegem dados sensíveis contra vazamentos para terceiros”, disse Knockel.
Lista de palavras censuradas
Os pesquisadores de TI também descobriram um pequeno arquivo de texto chamado “illegalwords.txt”. Ele lista 2.442 termos e frases, principalmente do idioma chinês escrito usado na República Popular da China, mas também alguns termos em uigur, em tibetano, no chinês escrito usado em Taiwan e Hong Kong e em inglês.
Entre os muitos termos estão palavrões, bem como expressões políticas consideradas tabu na China comunista e censuradas em público pelo Estado. Trata-se de críticas ao Partido Comunista Chinês, seus líderes, assim como tópicos em torno do Falun Gong, dos protestos na Praça da Paz Celestial, do Dalai Lama e da minoria muçulmana dos uigures em Xinjiang. O termo “Alcorão Sagrado” em uigur, por exemplo, está na lista, de acordo com o Citizen Lab.
Os especialistas em segurança de TI não conseguiram encontrar nenhuma indicação na versão atual do aplicativo de que essa lista de censura é ativamente utilizada. Também não está totalmente claro por que o arquivo existe. “Mesmo que o arquivo ‘illegalwords.txt’ não esteja em uso atualmente, My2022 já contém funções de código que podem ler este arquivo e usá-lo para a censura, portanto, ativar a lista de censura exigiria pouco esforço”, observa Knockel, da Citizen Lab.
O que o aplicativo já contém, entretanto, é uma função de relatório na qual os usuários do aplicativo podem delatar outros usuários se considerarem uma mensagem de chat perigosa ou questionável. Entre as possíveis razões para a elaboração de relatórios está a opção “conteúdo politicamente sensível”, que é normalmente usada na China para descrever tópicos politicamente censurados.
Violação de leis
No início de dezembro passado, o Citizen Lab comunicou confidencialmente suas conclusões ao comitê organizador chinês. Ao fazer isso, como é de praxe ao relatar vulnerabilidades de segurança, pediu aos organizadores chineses dos Jogos Olímpicos que reparassem as perigosas vulnerabilidades dentro de 45 dias antes da publicação do relatório.
“Até agora, o comitê organizador não reagiu a nossas revelações”, disse Jeff Knockel à DW. Novas versões apareceram nas lojas de aplicativos da Apple e do Google. Mas uma auditoria dos pesquisadores de segurança do Citizen Lab, realizada em 17 de janeiro de 2022, não encontrou mudanças em relação à lista de censura e às vulnerabilidades mencionadas.
No Playbook for Athletes and Officials, o Comitê Olímpico Internacional escreve que o aplicativo My2022 está “em conformidade com as normas internacionais, bem como com a legislação chinesa”. Entretanto, a Citizen Lab concluiu, com base em suas revelações, que a transferência insegura de informações pessoais “poderia ser uma violação direta das leis chinesas de proteção de dados”. Isso porque, de acordo com as leis de proteção de dados na China, as informações relativas à saúde de uma pessoa devem ser sempre armazenadas e transmitidas de forma criptografada.
As conclusões do relatório do Citizen Lab também levantam questões para as gigantes tecnológicas ocidentais que oferecem o My2022: Apple e Google. “Tanto a Apple quanto o Google proíbem os aplicativos de transmitir dados sensíveis sem a criptografia adequada, de acordo com suas políticas. Ambos agora têm que decidir se os problemas de segurança não resolvidos são motivo para exclusão de suas lojas de aplicativos”, disse Knockel à DW.
Entretanto, o comitê organizador dos Jogos de Inverno em Pequim 2022 defendeu o aplicativo, ressaltando que ele foi “revisado com sucesso” por empresas como Google, Apple e Samsung. “Tomamos medidas, como criptografar informações pessoais para proteger dados privados”, disse o comitê à agência de notícias Xinhua na segunda-feira.