Schlupflöcher und Zensurliste: Experten bemängeln Sicherheitslücken in chinesischer Olympia-App
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/U3WBE6UQXBDTNBCEGT2FIKYCIE.jpeg)
Die Olympischen Spiele Peking 2022 finden vom 4. bis zum 20. Februar 2022 statt.
© Quelle: David J. Phillip/AP/dpa
Peking. Ausländische Forschende haben Sicherheitsmängel in der chinesischen Olympia-App „My2022“ kritisiert. Wegen einer „einfachen, aber verheerenden Schwachstelle“ in der Verschlüsselungstechnik könnten persönliche Informationen bei der Übertragung abgefangen werden, warnten Forschende des renommierten Citizen Lab der kanadischen Universität von Toronto am Dienstag (Ortszeit) in einem Bericht. Athletinnen und Athleten sowie andere Teilnehmende der Olympischen Winterspiele vom 4. bis 20. Februar in Peking müssen auf Geheiß der Organisatoren das Handy-Programm zur Vorbeugung gegen die Pandemie benutzen.
Darin werden Gesundheitsdaten wie Krankheitsgeschichte, Impfstatus, PCR-Testergebnisse, tägliche Temperaturmessungen in den 14 Tagen vor den Spielen, frühere Reisen sowie Passdetails eingegeben. Die App bietet auch Funktionen wie Text- und Audio-Chat, Medaillenspiegel, Nachrichten, Wetter und Datentransfer. Die Forschenden fragten, „ob die Verschlüsselung für Überwachungszwecke absichtlich sabotiert wurde oder ob der Fehler aus Nachlässigkeit der Entwickler entstanden ist“.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NQVTWK3MY5CQHNHH4JQL73SIZQ.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/43M4IA6I7ZAJ5C52ZGI6G57OBM.jpg)
Nicht aktivierte Funktion für Zensur kritischer Schlagwörter
Die Expertinnen und Experten entdeckten auch für eine mögliche Zensur eine Liste mit 2422 heiklen Schlagwörtern, die aber nicht aktiviert worden sei. Es gehe unter anderem um Tibet, Xinjiang und mögliche Kritik an der Kommunistischen Partei. Die als „illegal“ beschriebenen Wörter sind meist in Chinesisch, aber auch Uigurisch oder Tibetisch. Dazu zählten „Dalai Lama“, „Tian‘anmen“, „Koran“ oder „zwangsweiser Abriss“.
Warum die Funktion nicht aktiviert ist, sei unklar. Doch könnte sie über ein Update zum Einsatz kommen, warnten die Forschenden. Solche Listen seien häufig in chinesischen Apps eingebaut. „My2022“ erlaube Nutzern auch, „politisch heikle“ Inhalte zu melden.
Über die Ursachen der Verschlüsselungsmängel konnten die Forschenden nur spekulieren. Da die meisten sensitiven Informationen in der App ohnehin an amtliche Stellen gingen, wäre es wenig hilfreich, wenn die Behörden „ihre eigenen Daten“ abfangen würden. Die Forschenden hielten eine „große amtliche Verschwörung“ für wenig wahrscheinlich. Eine Hypothese sei, dass die Verschlüsselung bewusst eingeschränkt worden sei, damit die App auch über Chinas Netze funktioniere, die stärker als in anderen Ländern Überwachungstechnologie einsetzten.
Mängel wurden bereits im Dezember entdeckt, aber bisher nicht behoben
Die Organisatoren der Spiele seien bereits am 3. Dezember informiert und gebeten worden, die Mängel innerhalb von 45 Tagen zu beheben. Bis Dienstag habe es keine Antwort gegeben. Auch seien die Probleme nicht beseitigt worden. Vielmehr sei noch die in China übliche und „ähnlich angreifbare“ App „Green Health Code“ ergänzt worden. So habe sich Citizen Lab zur Veröffentlichung ihrer Erkenntnisse entschieden.
Die Schwachstelle liegt nach Angaben der Forschenden darin, dass das Programm nicht die Sicherheitszertifikate überprüft und somit nicht bestätigt, dass die Daten wirklich an den bestimmungsgemäßen Server gehen. So könnte sich jemand zwischenschalten und den Absender täuschen, die Daten an einen anderen Server zu schicken, um sie abzufangen. Einige Daten werden nach Angaben der Expertinnen und Experten auch ohne jede Verschlüsselung gesendet, was ein Ausspionieren schon bei ungesicherten Wlan-Netzen oder durch Internetanbieter ermögliche.
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/YTXGBGCOBVHUVJQRE4XHMM5LPM.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/6DQJPICQ2ZEJNNK5HODYIRNUNQ.jpeg)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/FTD7NEW2DFFD3LMG5JFPCA4BCA.jpeg)
Organisatoren weisen Spionagevorwürfe zurück
Das Handy-Programm wurde im Auftrag des Organisationskomitees von der staatlichen Beijing Financial Holdings Group gebaut. Es gibt selbst offen an, die Daten mit einer Reihe amtlicher Stellen wie den Organisatoren, Sicherheits- und Gesundheitsbehörden, dem Internationalen Olympischen Komitee (IOC) und anderen zu teilen, die an der Umsetzung der Maßnahmen gegen Covid-19 beteiligt seien.
Aus Sorge um die private Daten stellen mehrere Länder ihren Athletinnen und Athleten nach Presseberichten „saubere“ Mobiltelefone zur Verfügung, um „My2022“ darauf zu installieren. Die chinesischen Organisatoren wiesen Spionagevorwürfe zurück. Sie hielten sich strikt an die Gesetze zum Schutz persönlicher Informationen. Citizen Lab hob aber hervor, dass die unsichere Datenübertragung nicht nur gegen Anforderungen der App-Stores von Google und Apple verstoßen könnten, sondern auch gegen Chinas eigene Gesetze zum Schutz der Privatsphäre.
RND/dpa
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/L2RA5DVSRZBGDANM7PFO7CZ6FE.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/QMZCW5QGHVBYVEMZ5ZSJYCXMOQ.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/3W2UBW4GYBBKRBDWKAFZBBUOMA.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/VHF5GQI6SBF4TJHSUSXJB5IMZU.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/ZDN3252EUND7JJAPH7H42VWJPY.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/NXJ7JZFYFRDKHDPVHAEVI7KX7E.png)
:format(webp)/cloudfront-eu-central-1.images.arcpublishing.com/madsack/5D65JJ55TFCT7PP32KTUL4P3FY.png)