China: aplicativo obrigatório para as Olimpíadas de Inverno contém falhas de segurança

Para monitorar a saúde do público e dos atletas que estarão nas Olimpíadas de Inverno deste ano, o governo da China lançou o MY2022, um aplicativo obrigatório para os participantes do evento, mas que contém várias falhas de segurança.

A divulgação das falhas está em um relatório do Citizen Lab. O Citizen Lab é  laboratório acadêmico da Universidade de Toronto cujo foco é a realização de pesquisas e no desenvolvimento de práticas humanitárias na convergência das tecnologias de informação e comunicação com a segurança global. Anteriormente, a divisão de pesquisa da Universidade de Toronto conseguiu localizar o grupo que praticava espionagem em iPhones.

Leia também: Apple processa empresa acusada de espionagem em iPhones

Segundo a instituição, as falhas de segurança encontradas no aplicativo obrigatório para assistir aos jogos olímpicos de Pequim são “simples, mas devastadoras”.

O aplicativo de uso obrigatório foi desenvolvido pelo governo da China para controlar o contágio de Covid-19 ao manter os atletas e turistas separados da população do país.

Desse modo, o App serve como uma forma de contato dos participantes com o governo para informar sobre algum evento de infecção.

Mas, além disso, o aplicativo tem outras funções, como chats em tempo real, mensagens de voz, transferência de arquivos, notícias e atualizações meteorológicas sobre o clima.

No entanto, as preocupações em relação ao aplicativo também consideram a alta probabilidade de censura e vigilância durante as Olimpíadas de Inverno por parte do Governo da China.

Como sabemos, a China possui um dos maiores sistemas de vigilância e censura dentre todas as nações do mundo. Um exemplo nítido disso é o fato de que autoridades chinesas já afirmaram que os celulares dos atletas terão mecanismos de bloqueio a sites e apps como Facebook, Google e Twitter.

Aplicativo obrigatório tem falhas em criptografia

Conforme o estudo publicado ontem (18), a criptografia do aplicativo pode ser facilmente burlada. Além disso, informações pessoais relacionadas à saúde das pessoas, assim como o seus históricos médicos, de viagens e os detalhes dos seus passaportes, também são vulneráveis.

O pior em tudo isso é que as respostas dos servidores do aplicativo podem ser hackeadas, permitindo que o MY2022 transmita instruções falsas aos usuários.

Por outro lado, a pesquisa questiona se as falhas não foram inseridas intencionalmente pelo governo da China. O país possui um histórico de reduzir tecnologias de criptografia para fins de censura e vigilância.

“Portanto, é razoável questionar se a criptografia desse aplicativo foi intencionalmente sabotada para fins de vigilância ou se o problema foi fruto de negligência do desenvolvedor”, afirma a pesquisa.

Mas o estudo também aponta que falhas de segurança são comuns no ecossistema de aplicativos da China. Desse modo, é provável que as falhas de segurança devido ao  aplicativo obrigatório MY2022 existam devido às prioridades diferentes dos desenvolvedores de software da China.

Uma atualização do app em  janeiro, conforme afirma o estudo, não corrigiu as falhas de segurança, indo contra as diretrizes de privacidade impostas pelas lojas da Apple e do Google. No entanto, o aplicativo ainda está disponível em ambas as lojas. No caso da Apple, isso pode ser um tanto quanto compreensível.

Leia mais: Apple pagou US$ 275 bilhões ao governo da China por sucesso do iPhone no país

O Citizen Lab afirmou em seu relatório a descoberta das falhas de segurança no aplicativo foram enviadas ao Comitê de Organização das Olimpíadas e Paraolimpíadas de Inverno de Pequim de 2022.

O instituto determinou o prazo de 15 dias para que o comitê emitisse uma resposta, e mais 45 dias para corrigir os problemas identificados pelo estudo. Caso esse prazo fosse ultrapassado, o Citizen Lab iria tornar pública a descoberta. Passados 47 dias, o instituto canadense publicou a pesquisa completa.

Fonte: Citizen Lab