Olympische app My2022 – China’s spionage-apparaat

Nick Muijs
1

Er is veel kritiek op het verplicht stellen van de Chinese Olympische app My2022 . Een deskundige beschuldigt de makers van de app van spionage. De beveiligingsonderzoeker uit ernstige beschuldigingen aan het adres van My2022, de officiële app die voor alle deelnemers aan de Winterspelen van Beijing verplicht is: de app zou gebruikers afluisteren, maar hij levert geen duidelijke bewijzen. Het Canadese Citizenlab heeft een lijst met kwetsbaarheden in de My2022 app gepubliceerd.


Olympische app My2022


Onderzoeker ontleedt Olympische app My2022

Een Amerikaanse beveiligingsonderzoeker heeft de app ontleed die verplicht is voor deelnemers aan de Olympische Winterspelen van Beijing en uit nu ernstige beschuldigingen aan het adres van China.

Volgens het rapport zou de app audio-opnames maken: “Ik kan met zekerheid zeggen dat alle audio-opnames van de Olympische atleten worden verzameld, geanalyseerd en opgeslagen op Chinese servers,” verklaart beveiligingsonderzoeker Jonathan Scott op Twitter.

Andere deskundigen zijn sceptisch en twijfelen of de resultaten zo stellig gepresenteerd kunnen worden. Scott wordt gezien als een complot-verspreider en zijn bevindingen zijn niet onomstreden.

Scott wijst op aanwijzingen in de code dat de Chinese ontwikkelaars van de app ook componenten van andere fabrikanten hebben geïntegreerd, waaronder modules van het Chinese bedrijf iFlytek, dat ook audio kan verwerken.

Hij concludeert dat de app permanent luistert naar alle ingelogde gebruikers en de gegevens doorstuurt naar Chinese servers. Scott heeft de gedecompileerde code en de assets van de app voor Android en iOS gepubliceerd op Github.

Tot nu toe geen sluitend bewijs

Tot dusver heeft Scott geen bewijs geleverd dat de app voortdurend gegevens registreert en doorgeeft – bijvoorbeeld op basis van het netwerkverkeer. Om dit te kunnen analyseren, moet men ingelogd zijn – en alleen geaccrediteerde deelnemers aan de Spelen hebben toegang tot de app. Hierop werd vrijdag ook gewezen door verschillende andere IT-beveiligingsexperts in een Twitter-ruimte met Scott.

Deskundigen betwijfelen de bevindingen

Het is gebruikelijk om componenten van derden in de code te vinden – dit is precies waar software development kits (SDK) voor zijn. In de regel wordt het aangemaakte uitvoerbare bestand niet opgeschoond en geoptimaliseerd. Zo komen componenten die door de SDK worden aangeboden er ook in terecht, zonder dat de app deze extra functies daadwerkelijk gebruikt.

Canadese Citizen Lab vindt vele gaten in Olympische app My2022

Een betrouwbaarder onderzoek komt uit Canada. Eerder hadden beveiligingsonderzoekers van Citizen Lab van de Universiteit van Toronto al kwetsbaarheden gevonden in de encryptie van de cliënt-server communicatie van de app. Olympiërs worden ook geacht medische gegevens zoals vaccinatiestatus in de app op te slaan.

Volgens Citizen Lab is het onduidelijk met wie deze informatie wordt gedeeld en worden de privé-gegevens dus onvoldoende beschermd.

De encryptie van de app kan worden omzeild. De app wordt gebruikt voor alle vormen van communicatie, zoals chats en bestanden delen. Paspoortgegevens, demografische informatie, reisgeschiedenis en medische voorgeschiedenis staan ook in de app. Maar de SSL-certificaten zijn niet gevalideerd, dus het is niet duidelijk waar de versleutelde informatie heengaat.

Publicatie Citizen Lab

Citizen Lab publiceerde deze bevindingen:

  • MY2022 heeft een eenvoudige maar verwoestende fout waarbij de encryptie ter bescherming van de spraak van gebruikers en de overdracht van bestanden op triviale wijze kan worden omzeild. Gezondheidsdouaneformulieren waarmee paspoortgegevens, demografische informatie en medische en reisgeschiedenis worden doorgegeven, zijn ook kwetsbaar. Serverantwoorden kunnen ook worden vervalst, waardoor een aanvaller gebruikers valse instructies kan geven.
  • MY2022 is vrij duidelijk over de soorten gegevens die het van gebruikers verzamelt in de documenten die voor het publiek toegankelijk zijn. Aangezien de app echter een reeks zeer gevoelige medische gegevens verzamelt, is het onduidelijk met wie of welke organisatie(s) het deze informatie deelt.
  • MY2022 bevat functies waarmee gebruikers “politiek gevoelige” inhoud kunnen melden. De app bevat ook een censuur trefwoordenlijst, die, hoewel momenteel inactief, gericht is op een verscheidenheid van politieke onderwerpen, waaronder binnenlandse kwesties zoals Xinjiang en Tibet, evenals verwijzingen naar Chinese overheidsinstanties.

Verder blijkt dat de app de medische informatie deelt met de Chinese regering, maar wordt dit nergens vermeld in de privacy-statement.

Onlangs werd de Chinese smartphonefabrikant Xiaomi er ook van beschuldigd censuurlijsten in zijn smartphones te hebben. Het bedrijf wordt verondersteld deze op afstand te kunnen in- en uitschakelen, concludeerden IT-beveiligingsautoriteiten uit Litouwen en Taiwan.

Sportorganisaties kritisch over gebruik van app

Ook sportorganisaties zijn kritisch over de app. De Duitse Olympische Sportfederatie (DOSB) en andere nationale bonden hebben atleten aangeraden My2020 niet op hun persoonlijke apparaten te installeren.

De DOSB stelt hiervoor smartphones ter beschikking van de Duitse delegatie. In Engeland wordt gesproken van ‘burner phones’ die niet meer gebruikt mogen worden zodra de deelnemer China verlaat. Internet 2.0 beschrijft verder een paar gevallen hoe de Chinese overheid software van derden gebruikt om informatie te verzamelen.

NOC*NSF

Het Nederlands Olympisch Comité (NOC*NSF) heeft de staf “schone” apparaten gegeven die na terugkeer uit China moeten worden vernietigd. Ook kregen sporters het dringende advies geen eigen telefoon en laptop mee te nemen naar Beijing. Dit advies werd door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en inlichtingendienst AIVD enkele maanden geleden gegeven.

“Dat is gebruikelijk. Daarbij zoomen we heel sterk in op de veiligheidssituatie in een land, op de politieke context maar ook op cybersecurity”, zegt Maurits Hendriks, technisch directeur van NOCNSF. Hij erkent dat de sportkoepel verschillende maatregelen neemt, maar wil vanwege de veiligheid van de sporters niet vertellen welke dat zijn.

In de Tweede Kamer heeft een meerderheid zich inmiddels gekeerd tegen de app en willen de partijen dat de regering protesteert bij zowel het IOC als China.

Nick Muijs

c't magazine mei/2022

Meer over

Malware

Deel dit artikel

Lees ook

Netflix reclame – advertenties bij Netflix in goedkoper abonnement

Netflix is in gesprek met verschillende aanbieders van video-advertenties. Moet je straks voor Netflix reclame of geen reclame betalen?

NVR NAS Synology DVA1622 – met AI voor gezichtsherkenning en meer

Synology heeft de DVA1622 aangekondigd. Op deze NVR NAS kun je tot 8 camera's aansluiten en via AI gezichtsherkenning en meer inzetten.

1 Praat mee
avatar
  Abonneer  
nieuwsteoudste
Laat het mij weten wanneer er
redactie c't
Lezer
redactie c't

Ter verduidelijking: vanuit verschillende hoeken komt er kritiek op de Olympische My2022-app. In het eerste deel van het betreffende artikel staan formuleringen als “beschuldigt de makers van spionage” en “de app zou gebruikers afluisteren”, waarbij we ook Scott zelf citeren met “Ik kan met zekerheid zeggen …”, waarna we vervolgens overgaan op de feiten. Daaruit blijkt dat de op GitHub gepubliceerde code geen bewijzen bevat voor zijn beschuldigingen. Het gerenommeerde Citizen Lab heeft echter wel potentieel serieuze kwetsbaarheden gevonden en die goed gedocumenteerd, met daarbij onder meer een trefwoorden-blocklist voor mogelijke censuur. In het eerste deel neutraliseren we de door… Lees verder »