O aplicativo móvel oficial dos Jogos Olímpicos de Inverno deste ano, que acontecem em Beijing, capital da China, possui graves falhas de segurança. As informações são de um relatório divulgado nesta terça-feira (18/01) pelo Citizen Lab, departamento canadense de segurança cibernética da Universidade de Toronto.
Um dos autores do relatório, Jeffrey Knockel, disse que foram encontradas vulnerabilidades na versão iOS do aplicativo, chamado My 2022, após ser baixada e ser criada uma conta. Apesar de não ter sido possível criar uma conta na versão Android do aplicativo, foram encontradas falhas semelhantes testando recursos disponíveis publicamente.
Conexão insegura e falha de criptografia
De acordo com o relatório, o My 2022 falhou ao validar certificados SSL – usados para autenticar a identidade de um site e garantir uma conexão segura. Essa falha significa que o aplicativo pode ser induzido a se conectar a um site falso projetado para roubar dados confidenciais do usuário.
Outras partes do aplicativo, como seu serviço de mensagens integrado, falharam ao criptografar metadados. Ou seja, uma vulnerabilidade que permite o acesso indevido a conteúdos por operadores de um ponto de Wi-Fi, por um provedor de serviços de Internet ou por uma empresa de telecomunicações.
Dessa forma, metadados, incluindo os nomes dos remetentes, destinatários das mensagens e seus identificadores de conta de usuário, podem ser lidos por qualquer possível espião, que também seria capaz de detectar qual telefone estaria enviando mensagens para outro e a que horas.
“Todas as informações que você está transmitindo podem ser interceptadas, principalmente se você estiver em uma rede não confiável, como um café ou serviço Wi-Fi de hotel”, disse Knockel. Informações confidenciais levantadas dessa forma podem ser usadas para roubo de identidade, acrescentou o pesquisador associado do Citizen Lab.
Falhas comuns em aplicativos chineses
Os pesquisadores apontam que as falhas provavelmente não foram intencionais, porque o governo já estará recebendo dados do aplicativo, então não haveria a necessidade de interceptar os dados enquanto estão sendo transferidos. Knockel diz que, ao ser usado o My 2022, “você já está enviando dados diretamente para o governo chinês”.
Segundo o Citizen Lab, as vulnerabilidades eram semelhantes às frequentemente encontradas em outros aplicativos chineses. Ou seja, é muito possível que as falhas sejam resultado da aplicação frouxa dos padrões de segurança cibernética da China do que parte de um esforço deliberado do governo para roubar dados.
Termos censurados
Também foi observado que o My 2022 inclui uma lista (a princípio, inativa) de 2.422 termos políticos marcados para censura em seu código – de acordo com o Citizen Lab – descritos como “illegalwords.txt”. A maioria das palavras está escrita em caracteres do chinês simplificado, com algumas palavras em tibetano, uigur (com referências ao Alcorão), chinês tradicional e inglês.
O relatório diz que os termos chineses remetem ao massacre da Praça da Paz Celestial, críticas comuns ao Partido Comunista Chinês e o nome do presidente da China, Xi Jinping. Listas de palavras censuradas são comuns em aplicativos de mídia social chinesas e funcionam como primeira linha de defesa em um sistema de censura multicamada projetado para impedir a disseminação de tópicos políticos indesejados.
Aplicativo obrigatório desde antes dos Jogos começarem
Diariamente, por duas semanas antes da chegada à China, atletas, dirigentes, mídia e todos os participantes da edição dos Jogos Olímpicos de Inverno devem baixar o My 2022 e enviar seus planos de viagem, detalhes de passaporte e outras informações. Inclusive sobre saúde, como temperatura corporal, sintomas respiratórios, medicamentos e resultados de testes de coronavírus.
Outras funções do aplicativo, desenvolvido pela fintech e empresa de investimento estatal da China, incluem mensagens de bate-papo, serviços de tradução e informações de transporte. Os usuários são obrigados a continuar usando o aplicativo para enviar informações sobre seu estado de saúde durante o evento.
Leia também:
- Tesla é criticada por abrir showroom em região da China envolvida em abusos contra os direitos humanos
- China lança yuan digital para atletas e espectadores dos Jogos Olímpicos de Inverno
- China revela trem-bala autônomo com 5G que atinge até 350 km/h
Os Jogos Olímpicos de Inverno deste ano começam no dia 4 de fevereiro. Vários países ocidentais, incluindo EUA, Austrália e Reino Unido, anunciaram um boicote diplomático ao evento. Os motivos citados são os abusos generalizados dos direitos humanos, incluindo uma campanha para assimilar à força grupos minoritários turcos muçulmanos na região de Xinjiang, noroeste da China.
Em seu relatório, o Citizen Lab disse que divulgou as falhas de segurança ao Comitê Organizador de Beijing para os Jogos Olímpicos e Paralímpicos de Inverno de 2022 em 3 de dezembro do ano passado. Entretanto, os pesquisadores não receberam nenhuma resposta.
Uma atualização de janeiro do software não corrigiu os problemas, o que provavelmente colocou o aplicativo em violação das leis de proteção de dados pessoais recém-promulgadas da China, bem como das políticas de privacidade necessárias para listar um aplicativo nas lojas do Google e da Apple. Segundo o The New York Times, as empresas não responderam aos seus pedidos de comentários a respeito.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: