fbpx
NewsSoftwareTech

Olimpiadi invernali: l’app che traccia gli atleti non è sicura

L'Università di Toronto ha evidenziato i problemi dell'app My2022 che dovrebbe tracciare i partecipanti dei Giochi Olimpici invernali di Pechino

My2022 non è sicura. L’app ufficiale delle Olimpiadi invernali sembra avere una grossa falla di sicurezza. Anzi, a dire il vero più di una. Stando al report pubblicato da Citizen Lab, il laboratorio di ricerca specializzato in cybersecurity dell’Università di Toronto, l’applicazione mette a rischio le informazioni personali degli atleti, incluse quelle demografiche, sanitarie, i dati del passaporto e molto altro ancora.

Olimpiadi invernali: i problemi dell’app My2022

In un lungo e dettagliato articolo pubblicato sul sito ufficiale di Citizen Lab, emergono i problemi di sicurezza di un’app che, in realtà, era nata con l’intenzione di proteggere tutti coloro che prenderanno parte alle Olimpiadi invernali, che si terranno a Pechino dal 4 al 20 febbraio.
Potete pensare a My2022 come una versione un po’ più complessa e specifica di Immuni: non funzionano allo stesso modo ma entrambe nascono per tenere traccia dei contatti. Ecco perché l’installazione dell’app è obbligatoria per tutti: gli atleti, il pubblico e la stampa.

Ma chi accede a tutti questi dati?

Come dicevamo poco sopra, lo scopo primario dell’app è monitorare la salute di tutti i partecipanti ma in realtà il software è molto complesso e prevede una marea di funzionalità. My2022 include chat in tempo reale, chat vocali, la possibilità di trasferire file di qualsiasi genere, aggiornamenti meteo e news sui Giochi Olimpici Invernali.

olimpiadi invernali: my2022  non è sicura

Il download deve essere effettuato 14 giorni prima della partenza per la Cina, questo perché tutti coloro che prendono in qualche modo parte alle olimpiadi devono inviare preventivamente una serie di documenti che includono i dettagli del passaporto, le informazioni demografiche, la storia clinica e i dati relativi ai precedenti viaggi. Inoltre, una volta arrivati in loco viene richiesto l’invio giornaliero di informazioni riguardanti la propria salute.

Capite bene che l’app, sviluppata dal Beijing Financial Holdings Group (controllato dallo Stato cinese), raccoglie moltissime informazioni personali.
Cosa se ne fanno di tutti questi dati?
In realtà la privacy policy di My2022 è piuttosto chiara sul quali informazioni vengano raccolte.
Esistono però due zone grigie.
La prima riguarda i dati sanitari: non è al momento dichiarato con chi o cosa vengano condivisi questi dati, inclusi lo stato di salute attuale, i risultati di eventuali tamponi e lo stato di vaccinazione.
La seconda invece riguarda la possibilità di condividere tutte le informazioni raccolte senza il consenso dell’utente. Nello specifico vengono dipinti diversi scenari in cui questa eventualità diventa possibile e no, non è niente di strano: i dati possono essere condivisi per motivi di sicurezza nazionale, per incidenti che coinvolgano la salute pubblica o per investigazioni legate ad un crimiei. Tutto molto ragionevole ma in realtà non è chiaro chi possa richiedere e ricevere queste informazioni.

Le vulnerabilità dell’applicazione

L’app My2022 comunica e trasmette informazioni ad una serie di server utilizzando un protocollo chiamato SSL (Secure Sockets Layer). Si tratta di una tecnologia standard che protegge le informazioni impedendo che vengano lette o modificate durante la trasmissione. Come? Usando dei certificati che garantiscono l’autenticità del server.
L’applicazione delle Olimpiadi invernali però sembra dare problemi nella fase di validazione dei certificati, il che dà ad eventuali hacker la possibilità di interferire nella comunicazione.
Tutto questo permetterebbe ai malintenzionati di accedere a tutto ciò che viene caricato tramite My2022, dal passaporto ai dati sanitari.

C’è di più. Citizen Lab segnala che alcuni dati sensibili vengono trasmessi senza protocollo SSL e, in generale, senza alcun tipo di precauzione. Appartengono a questa sfortunata categoria i messaggi, inclusi i nomi di mittente e destinario. Insomma, chiunque potrebbe provare ad intercettare le chat private dei partecipanti.

E ora cosa succede?

I problemi di sicurezza rilevati da Citezen Lab sono stati segnalati il 3 dicembre 2021 al Comitato Organizzativo di Pechino per le Olimpiadi e ParaOlimpiadi invernali 2022. Al momento il laboratorio dell’Università di Toronto (Canada) non sembra aver ricevuto alcun riscontro.

Il 17 gennaio l’app è stata aggiornata ma le falle non sono state chiuse.

My2022 e la censura

Molte applicazioni di messaggistica cinese tendono ad avere una qualche forma di censura e sorveglianza.
My2022 sembra non essere da meno. All’interno dell’app per Android è stato trovato un file chiamato illegalwords.txt che contiene una lista di 2.442 parole che in Cina sono considerate “sensibili”.
Attualmente non sembrano esserci funzionalità attive che sfruttino questo elenco, elenco che contiene termini in cinese semplificato, cinese tradizionale, tibetano, lingua uigura e inglese. Tra le parole vietate troviamo parolacce e imprecazioni, termini riguardanti la pornografia, beni considerati illegati in Cina e riferimenti negativi al sistema politico cinese, alla protesta di piazza Tiananmen, alle agenzie governative e ai leader del Paese.

Non è al momento chiaro il motivo per cui questa lista non venga utilizzata. Potrebbe essere stata temporaneamente disabilitata di proposito, risultare inaccessibile a causa di un bug oppure essere stata inclusa nell’app prima che il comitato olimpico discutesse con la Cina per stabilire cosa dovesse e non dovesse essere censurati durante i Giochi.

La Cina ha sabotato l’app delle Olimpiadi invernali?

Probabilmente questa è la domanda che si stanno ponendo tutti e che si sono posti gli stessi esperti di Citizen Lab.
La Cina ha dei trascorsi per quanto riguarda l’intercettazione dei dati quindi non è assurdo pensare che l’app sia volutamente fallata.

Dobbiamo però considerare alcuni elementi importanti. Prima di tutto non avrebbe senso intercettare informazioni che vengono già archiviate su server a cui il governo di Pechino può avere accesso. Parebbe uno sforzo inutile.
Potremmo però essere di fronte ad un’inaspettata conseguenza di un’azione deliberata: indebolendo la sicurezza per accedere ad altri dati, come i messaggi, si è “rotto” qualcosa anche nella trasmissione dei file. Possibile seppur difficile da credere considerando che la Cina ormai può contare su ingegneri, programmatori ed esperti informatici che lavorano per i colossi tecnologici.
Il secondo elemento da tenere in considerazione è che, nonostante i trascorsi del Paese, il governo cinese ha provato ad allinearsi al resto del mondo in tema di gestione dei dati personali. Anzi, allo stato attuale My2022 sembra violare le leggi cinesi sulla privacy.

Al momento risulta difficile stabilire se le falle siano frutto di un errore accidentale o deliberato. Viene però da chiedersi come abbia fatto l’app a superare i controlli del Play Store di Google e dell’App Store di Apple che, a questo punto, sarebbero leggitimati e rimuovere l’applicazione dei rispettivi store visto che My2022 non cripta i dati come dovrebbe.

Voi cosa ne pensate? Se siete curiosi di saperne di più, potete leggere l’intero report di Citizen Lab.

Offerta
Capire la Cina
  • Màdaro, Adriano (Autore)

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Back to top button