نقص امنیتی جدی در المپیک زمستانی

اقتصاد آنلاین – پرهام کریمی؛ بازی‌های زمستانی که از 4 فوریه آغاز می‌شود، دومین دوره از بازی‌های المپیک در طول همه‌گیری ویروس کرونا است. بنابراین درست مانند بازی‌های تابستانی توکیو، پیگیری و پایش سلامت ورزشکاران ضروری است. در این بین هر کسی که برای المپیک 2022 به پکن سفر می کند، موظف است سلامت خود را به مقامات اثبات کند. اما یک گزارش امنیتی به دست آمده نشان می دهد که برنامه 2022 گوشی هوشمند استفاده شده در این زمینه دارای آسیب پذیری هایی است که می تواند منجر به هک  و درز اطلاعات شود.

ورزشکارانی که به بازی‌های المپیک زمستانی پکن می‌روند در حال انجام آخرین اقدامات برای سفر هستند، از جمله رعایت اقدامات بهداشتی چین و درج اطلاعات خود در اپلیکیشن موبایلی که چین در همین زمینه راه اندازی کرده است.

بر اساس گزارش امنیت سایبری توسط Citizen Lab، اقدامات امنیتی ناکافی در این برنامه می‌تواند المپیکی‌ها، روزنامه‌نگاران و مقامات ورزشی را در برابر هکرها آسیب پذیر کند و موجب نقض حریم خصوصی آنان شود. علاوه بر این، متخصصان پزشکی قانونی در زمینه فناوری اطلاعات دریافته اند که این برنامه شامل فهرستی از کلمات کلیدی است که در این اپلیکیشن سانسور می شوند.

این یافته ها در حالی منتشر شده که نگرانی های بین المللی در مورد ایمنی دیجیتالی در بازی ها افزایش یافته است. آلمان، استرالیا، بریتانیا و ایالات متحده از ورزشکاران و کمیته های ملی المپیک خود خواسته اند که از تلفن های شخصی و لپ تاپ های خود استفاده نکنند و به دلیل ترس از جاسوسی با دستگاه های ویژه ای سفر کنند. کمیته المپیک هلند نیز به دلیل نگرانی های امنیتی، ورزشکاران خود را از همراه داشتن تلفن های شخصی و لپ تاپ منع کرده است.

طبق دستورالعمل رسمی کمیته بین المللی المپیک (IOC)، ورزشکاران، مربیان، خبرنگاران و مقامات ورزشی و همچنین هزاران کارمند محلی باید اطلاعات خود را در اپلیکیشن یا وب سایت مذکور قرار دهند. این برنامه که درچین توسعه یافته است، برای نظارت بر سلامت همه شرکت کنندگان و کارکنان و همچنین ردیابی عوارض های احتمالی COVID 19 طراحی شده است.

اطلاعات گذرنامه و اطلاعات پرواز باید در این برنامه وارد شود. اطلاعات حساس پزشکی مرتبط با علائم احتمالی کووید ۱۹ نیز مورد نیاز است، مانند اینکه آیا فردی تب، خستگی، سردرد، سرفه خشک، اسهال یا گلودرد داشته است یا خیر. افرادی که از خارج از کشور می آیند باید از 14 روز قبل، درج داده های بهداشتی را آغاز کنند.

بسیاری از کشورها از برنامه های ردیابی تماس برای کمک به کاهش سرعت گسترش کرونا استفاده می کنند. اما این برنامه علاوه بر ردیابی تماسها از سرویس‌های دیگری نیز استفاده می کند: دسترسی به رویدادها را تنظیم می‌کند، به عنوان راهنمای بازدیدکنندگان با اطلاعات مکان‌های ورزشی و خدمات توریستی عمل می‌کند، همچنین عملکردهای چت (متن و صدا)، بخش های خبری و انتقال فایل را ارائه می‌کند.

توضیحات موجود در فروشگاه برنامه اپل می‌گوید «خدمات سفارش شده‌ای را برای گروه‌های کاربری مختلف ارائه می‌کند تا از تجربه بازی‌های همه جانبه با یک برنامه جامع و کاربردی لذت ببرند».

Citizen Lab که تحقیقاتی در مورد امنیت دیجیتال در دانشکده امور جهانی Munk در دانشگاه تورنتو انجام می دهد و در افشای نرم افزارهای جاسوسی Pegasus نقش داشت، این برنامه را بررسی کرد و متوجه شد که در برابر سرقت الکترونیکی آسیب پذیر است.

البته گواهینامه‌های SSL این برنامه - که قرار است اطمینان حاصل کنند که داده‌ها فقط بین دستگاه‌ها و سرورهای قابل اعتماد رد و بدل می‌شود - تأیید نمی‌شوند، که این بدین معناست که برنامه فوق دارای یک نقص رمزگذاری جدی است. در نتیجه، برنامه ممکن است فریب بخورد و با یک میزبان مخرب ارتباط برقرار کند، که این موضوع اجازه می دهد اطلاعات رهگیری شود یا حتی داده های مخرب به برنامه بازگردانده شوند.

جفری ناکل، محقق آزمایشگاه Citizen Lab می‌گوید که این آسیب‌پذیری را نه تنها در مورد داده‌های سلامتی، بلکه در سایر خدمات مهم در برنامه نیز پیدا کرده است. این شامل سرویسی در برنامه‌ است که همه فایل ها و همچنین صدای ارسالی را پردازش می‌کند.

این کارشناس کشف کرده است که برای برخی از خدمات، داده ها اصلاً رمزگذاری نشده اند. این یعنی که ابرداده های سرویس چت برنامه به راحتی توسط هکرها قابل خواندن است.

ناکل در این گزارش می‌گوید: یافته‌های ما نشان می‌دهد که اقدامات امنیتی این برنامه برای جلوگیری از افشای داده‌های حساس به اشخاص ثالث غیرمجاز کاملاً ناکافی است.

کمیته بین المللی المپیک در بیانیه ای کتبی به دویچه وله پس از انتشار این گزارش گفت که دو شرکت مستقل امنیت سایبری این اپلیکیشن را آزمایش کرده اند و متوجه شده اند 'هیچ آسیب پذیری حیاتی' در آن وجود ندارد. این کمیته گزارش تکمیلی Citizen Lab را درخواست کرده تا 'نگرانی های آنها را بهتر درک کند.'

محققان آزمایشگاه Citizen همچنین یک فایل متنی به نام 'illegalwords.txt' در این اپلیکیشن پیدا کرده اند که شامل 2442 کلمه و عبارات کلیدی است، عمدتا به زبان چینی (که در جمهوری خلق چین استفاده می شود) نوشته شده است - اما بخش کوچکی از کلمات نیز به زبان های اویغور، تبتی، چینی سنتی (مورد استفاده در هنگ کنگ و تایوان) و انگلیسی است.

در میان بسیاری از این کلمات کلیدی، برخی ناسزاها، عباراتی که به موضوعات تابوی سیاسی در چین اشاره می کند - که توسط دولت سانسور می شود - از جمله انتقاد از حزب کمونیست چین و رهبران آن  و همچنین کلمات کلیدی مربوط به فالون گونگ، اعتراضات تیان آن من، دالایی لاما و اقلیت مسلمان اویغور در منطقه سین کیانگ چین هم به چشم می خورد.

یکی از نمونه‌های موجود در این فهرست، که Citizen Lab آن را بررسی کرده است، عبارت «قرآن کریم» در زبان اویغور است.

Citizen Lab که تخصص قابل توجهی در تجزیه و تحلیل امنیت برنامه ها دارد، می گوید در نسخه فعلی برنامه هیچ نشانه ای وجود ندارد که این لیست کلمات کلیدی به طور فعال برای سانسور استفاده می شود ولی مشخص نشد که چرا این لیست کلمات کلیدی در برنامه وجود دارد. اما یکی از محققان می‌گوید: "در حال حاضر از 'illegalwords.txt' استفاده نمی‌شود، چون این برنامه از قبل حاوی توابعی است که قادر به خواندن این فایل و اعمال آن در جهت سانسور هستند، بنابراین فعال کردن لیست سانسورکار سختی نیست."

این برنامه همچنین دارای قابلیت گزارش دهی است که به برنامه و کاربران اجازه می دهد در صورتی که پیام چت را خطرناک یا مشکوک می دانند، عملکرد سایر کاربران را گزارش دهند. در میان دلایل احتمالی گزارش، گزینه «محتوای حساس سیاسی» است، عبارتی که معمولاً برای توصیف موضوعات سانسور در چین شده استفاده می‌شود.

سازمان نظارتی می گوید که به طور محرمانه این یافته ها را در اوایل دسامبر به کمیته سازماندهی المپیک پکن برای بازی های المپیک 2022 اعلام کرده است. در انجام این کار، همانطور که در هنگام گزارش آسیب‌پذیری‌های امنیتی مرسوم است، Citizen Lab از سازمان‌دهندگان المپیک پکن خواست که این مشکلات را ظرف 45 روز قبل از افشای عمومی یافته‌های موسسه امنیت سایبری برطرف کنند.

ناکل به دویچه وله گفت: کمیته سازماندهی به اعلام هشدار ما پاسخی نداده است.

در همین حال، به روز رسانی های این برنامه در فروشگاه های اپل و گوگل منتشر شده است. بازرسی مجدد توسط کارشناسان امنیت سایبری Citizen Lab در 17 ژانویه نشان داد که هیچ تغییری برای رفع نگرانی های مطرح شده در مورد آسیب پذیری های امنیتی و لیست 'کلمات غیرقانونی' صورت نگرفته است.

کمیته بین‌المللی المپیک در دفترچه  بازی المپیک به ورزشکاران و مقامات تیم اعلام می‌کند که این برنامه «مطابق با استانداردهای بین‌المللی و قوانین چین است».

اما بر اساس یافته های خود، Citizen Lab نتیجه می گیرد که انتقال ناامن اطلاعات شخصی 'ممکن است نقض مستقیم قوانین حریم خصوصی چین باشد.' این به این دلیل است که قوانین حفاظت از داده های چین ایجاب می کند که سوابق سلامت و پزشکی افراد به صورت دیجیتالی به صورت رمزگذاری شده منتقل و ذخیره شود.

یافته های Citizen Lab همچنین سوالاتی را در مورد دو غول فناوری غربی که این برنامه را ارائه می کنند ایجاد می کند: Apple و Google.

ناکل از Citizen Lab به دویچه وله گفت: «سیاست‌های اپل و گوگل، برنامه‌ها را از انتقال داده‌های حساس بدون رمزگذاری مناسب منع می‌کند، بنابراین اپل و گوگل باید تعیین کنند که آیا با آسیب‌پذیری‌های حل‌نشده برنامه را از لیست خود حذف می کنند یا خیر».

این کمیته روز دوشنبه به خبرگزاری شین هوا گفت: "کمیته سازماندهی پکن در حمایت از برنامه خود برخواسته است، با این حال، می‌گوید که در بازارهای بین‌المللی برنامه‌های تلفن همراه مانند گوگل، اپل و سامسونگ این برنامه تست های امنیتی کافی را گذرانده و نسبت به امنیت این برنامه اطمینان می دهد."